Come rendere strong TLS_RSA_WITH_3DES_EDE_CBC_SHA

1

Prima di tutto non ho idea di cosa siano le cifre e la mia conoscenza è molto basilare per la sicurezza!

Detto questo, da questo tutorial ho stabilito un sito SSL sicuro e ho eseguito un test sul mio dominio e anche se la valutazione è A+ ma ho notato che TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) è WEAK Non penso che questo sia un problema importante ma, poiché tutto è perfetto, sembra buono se lo rinforzo anche cipher.

qualcuno mi aiuterebbe gentilmente a risolvere questo cifrario debole?

    
posta user145974 18.04.2017 - 00:26
fonte

1 risposta

4

Se seguendo questa guida hai usato questa linea nella configurazione di nginx:

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

Dovresti sostituire quella linea con

ssl_ciphers '-ALL:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES';

quindi riavvia nginx e prova di nuovo il test Qualys (fai clic sulla cache trasparente nella pagina di test di Qualys se necessario). Puoi confrontare i risultati per le connessioni simulate da diversi browser e motori di ricerca per vedere che nulla è cambiato, tranne che hai perso la capacità di connessione di Internet Explorer su Windows XP. Non è una perdita, è completamente insicuro.

In futuro, quando esegui l'aggiornamento da Ubuntu 14.04 a un sistema operativo server fornito con una versione di openssl che supporta ChaCha20Poly1305, dovrai regolare ssl_ciphers. Questo può accadere non appena Ubuntu 18.04 verrà rilasciato tra un anno. Dovrai sicuramente adattarti quando passerai ai certificati Ed25519, che impiegheranno alcuni anni (i certificati RSA 2048 saranno probabilmente supportati per un tempo molto lungo, e Ed25519 non sarà disponibile per almeno un anno, ma alla fine tutti lo faranno l'aggiornamento).

    
risposta data 18.04.2017 - 03:36
fonte

Leggi altre domande sui tag