Come disabilitare cipher RC4 in ubuntu 12.04

8

Ho eseguito la scansione di rete per la nostra scatola e Ncircle ha segnalato supporto SSL Server RC4 per SSLv3 . Sulla base di ciò ho effettuato una ricerca e ho intenzione di aggiungere a /etc/apache/conf.d/security il seguente:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

Quindi, se capisco bene, il segno ! è una negazione come in un linguaggio di programmazione, quindi le mie regole possono essere le seguenti:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT   

Continuavo a leggere il rapporto e mi lamentavo del supporto per CBC e weak MAC

Ho cercato e ho trovato 2 blog hynek.me e raymii.org . Sono un po 'confuso. Quale direttiva è recente per risolvere i miei problemi attuali.

Per me è necessario un po 'di illuminazione. Grazie

Modifica

Dopo molti problemi e lettura. Ho trovato questo:

ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT

Ho controllato con

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4

Non sono sicuro che sia abbastanza buono. Sospetto che alcuni browser potrebbero avere problemi di compatibilità con questo.

    
posta black sensei 27.09.2014 - 15:31
fonte

1 risposta

7

Ci sono ancora alcuni codici RC4 nella tua lista. Per verificare quali codici sono offerti dal server inserisci la tua lista in "openssl ciphers -V", cioè

  $ openssl ciphers -V 'ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT' | grep RC4
      0xC0,0x11 - ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
      0xC0,0x07 - ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
      0xC0,0x16 - AECDH-RC4-SHA           SSLv3 Kx=ECDH     Au=None Enc=RC4(128)  Mac=SHA1
      0xC0,0x0C - ECDH-RSA-RC4-SHA        SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0xC0,0x02 - ECDH-ECDSA-RC4-SHA      SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0x00,0x8A - PSK-RC4-SHA             SSLv3 Kx=PSK      Au=PSK  Enc=RC4(128)  Mac=SHA1

Una buona fonte per configurare correttamente il tuo server è ssllabs.com. Per esempi di impostazioni cipher utili vedi link .

    
risposta data 27.09.2014 - 15:43
fonte

Leggi altre domande sui tag