Ho eseguito la scansione di rete per la nostra scatola e Ncircle ha segnalato supporto SSL Server RC4 per SSLv3 . Sulla base di ciò ho effettuato una ricerca e ho intenzione di aggiungere a /etc/apache/conf.d/security
il seguente:
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Quindi, se capisco bene, il segno !
è una negazione come in un linguaggio di programmazione, quindi le mie regole possono essere le seguenti:
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Continuavo a leggere il rapporto e mi lamentavo del supporto per CBC e weak MAC
Ho cercato e ho trovato 2 blog hynek.me e raymii.org . Sono un po 'confuso. Quale direttiva è recente per risolvere i miei problemi attuali.
Per me è necessario un po 'di illuminazione. Grazie
Modifica
Dopo molti problemi e lettura. Ho trovato questo:
ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT
Ho controllato con
openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC
openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4
Non sono sicuro che sia abbastanza buono. Sospetto che alcuni browser potrebbero avere problemi di compatibilità con questo.