Abbiamo un sistema di produzione ospitato privatamente e una macchina AWS che usiamo per testare. Entrambi i sistemi hanno la stessa struttura:
- Terminazione SSL con haproxy,
- passaggio a un server Apache che ospita un sito Web di rotaie
- più un carico di servizi ausiliari, ecc.
I miei tentativi di rafforzare il nostro sistema in haproxy:
ssl-default-bind-options no-sslv3
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-server-options no-sslv3
ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
tune.ssl.default-dh-param 2048
Su AWS il nostro sistema ha ottenuto un A
sul test dei laboratori SSL Qualys (ignorando i problemi di affidabilità in quanto non abbiamo pagato un certificato verificato sul nostro sistema di test privato).
Sulla nostra produzione, il sistema ha ottenuto un solido F
, citando il ( CVE- 2016-2107 ) vulnerabilità. Apparentemente la soluzione è aggiornare la versione di openssl (attualmente 1.0.1e su entrambi i sistemi ...!)
Sono curioso, però, del motivo per cui si è trattato di un problema sul nostro server con hosting privato ma non su AWS? Ti sto chiedendo perché proviamo sempre le cose su AWS prima che la nostra macchina di produzione verifichi, ad es. un aggiornamento del software interrompe qualsiasi cosa, quindi mi piacerebbe essere consapevole di alcune differenze intrinseche in quell'ambiente, così da non farmi prendere dalla versione live ...
Molte grazie in anticipo.