Come implementare la correzione per Forward Secrecy su Debian Apache OpenSSL? [chiuso]

2

Il risultato del test SSL era A- a causa della segretezza inoltrata.

Voglio sapere come implementare la correzione menzionata in questa pagina qui: link

Specificamente le linee:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Nel mio file apache2.conf ho una riga SSLProtocol e quindi al di sotto di quella posso posizionare la riga SSLCipherSuite , è lì che presumo che queste linee di correzioni per la segretezza diretta debbano andare.

Ad esempio da questa domanda qui:

link

Vedo la loro linea SSLCipherSuite come:

ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL

Guardando il documento Apache SSL vedo il modello sopra.

Non so come mettere tre linee, sono separate da commmas, o usare tre linee separate, o le linee vanno da qualche altra parte?

    
posta Jacob David Cunningham 26.06.2016 - 09:12
fonte

1 risposta

1

Queste sono NOT lines:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Questi sono cifrari e dovrebbero andare all'interno di SSLCipherSuite nella forma appropriata.

Implementazione:

Per prima cosa, assicurati che non ci siano altri SSLCipherSuite (eccetto i vhosts) che potrebbero ignorare le tue nuove impostazioni della suite di crittografia. Se c'è, commentalo.

Quindi, sotto la riga commentata o sotto SSLProtocol incolla la tua suite di crittografia. Dovrebbe apparire ad esempio in questo modo:

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:!DSS

Spiegazione:

  • il primo è direttiva (SSLCipherSuite) per il server Apache
  • cifre (ad esempio DHE-RSA-AES128-SHA256 ) o gruppi di cifre (ad esempio DSS ) sono separati da due punti ( : )
  • punto esclamativo dopo i due punti significa che questo codice o gruppo deve essere escluso
  • più dopo i due punti significa che questo codice o gruppo dovrebbe andare alla fine

A proposito, non usare la suite di crittografia menzionata in questione. RC4 è obsoleto e proibito in TLS da oltre un anno . (Grazie @ Michael Kjörling)

    
risposta data 26.06.2016 - 13:13
fonte

Leggi altre domande sui tag