SSLCipherSuite! 3DES non funziona

Naviga le tue risposte
0

Seguendo i consigli che ho visto qui e in altri luoghi, sto cercando di rimuovere il supporto sul nostro server per queste due suite che hanno interrotto il test del server SSL Labs: 

TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Avrei pensato di impostare SSLCipherSuite in: 

HIGH:!aNULL:!eNULL:!DES:!3DES:!ADH:!EXP:!NULL:!RC4

non consentirebbe nulla con 3DES, ma il test SSL Labs mostra ancora questi due cifrari "deboli" come supportati. Ho provato ad aggiungere 

:!DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA

a questa impostazione e facendo un riavvio (Apache graceful), ma non cambia.

SSLProtocol è impostato su: 

-ALL -SSLv2 -SSLv3 +TLSv1.2

(è il -SSLv2 e v3 ridondante?)

Cosa mi manca?

    
posta user2723901 07.06.2017 - 23:33
fonte

2 risposte

3

Probabilmente risolto, ma ha avuto lo stesso identico problema, ha perso la voglia di vivere, ma poi ha scoperto che è stata permessa la crittografia:

link

Ero in greppia su CipherSuite nella mia cartella di installazione di apache ma consente di crittografare un file al di fuori di esso.

    
risposta data 07.12.2017 - 10:51
fonte
0

La SSLCipherSuite che mostri ha un bell'aspetto per raggiungere l'obiettivo dichiarato (rimuovere 3DES) che può essere visto quando lo usi all'interno 

openssl ciphers -V 'HIGH:!aNULL:!eNULL:!DES:!3DES:!ADH:!EXP:!NULL:!RC4'

Questo mostra le cifre che dovrebbero essere accettate dal tuo server e si può vedere che non c'è più 3DES.

Se il test del server è diverso, potresti testare un server diverso da quello che hai configurato o questa impostazione non viene applicata, forse perché c'è un altro SSLCipherSuite da qualche parte nella tua configurazione o il riavvio non è andato a buon fine e la configurazione precedente è ancora in uso.

A parte questo, ti consiglio di seguire le linee guida di Mozilla per configurare il tuo server. Forniscono configurazioni appropriate per quanto riguarda le crittografie e la versione del protocollo per i principali server SSL e questi dovrebbero essere meglio usati invece di crearli da soli a meno che tu non sappia davvero cosa fai.

    
risposta data 08.06.2017 - 07:09
fonte

Leggi altre domande sui tag

Con la recente denuncia di SHA-1 da parte di Google, dovrebbe essere evitato il PBKDF2 basato su SHA-1? [duplicare] Usando RSA_verify per verificare una firma, perché il primo parametro?