Ich habe einen Testserver, auf dem Centos 6.8 läuft, und kann diese Meldung beim Ausführen eines SSL Labs-Tests nicht beheben:https://www.ssllabs.com/ssltest/analyze.html?d=biduno.com&latest
Dieser Server ist anfällig für die OpenSSL-Padding-Oracle-Sicherheitslücke (CVE-2016-2107) und unsicher. Bewertung auf F gesetzt. Ich glaube, es hat mit Open OpenSSL zu tun und ich habe die neueste Version OpenSSL 1.1.0c vom 10. November 2016.
Könnte es mit meinen Chiffren zu tun haben?
SSL-Protokoll ALLE -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:AES256-SHA256:!RC4:HOCH:MITTEL:+TLSv1:+TLSv1.1:+TLSv1.2:!MD5:!ADH:!aNULL:!eNULL:!NULL:!DH:!ADH:!EDH:!AESGCM SSLHonorCipherOrder on
Antwort1
Nun, Sie müssen Protokolle, Chiffren und einige andere Einstellungen nach Ihrem Geschmack anpassen. Sie mischen auch Protokolle und Chiffrensammlungen, was wahrscheinlich nicht gut ist.
Hier ist die grundlegende SSL/TLS-Konfiguration fürwww.cryptopp.com, ein Open-Source-Projekt, bei dem ich mitarbeite. Es läuft auf einer CentOS 7-VM und erreicht bei den Qualsys-Tests ein „A“. Keiner von uns ist Apache-Experte, also nehmen Sie die Konfiguration für bare Münze. Wir tun genug, damit die Benutzer keine Probleme haben, aber nicht viel mehr.
Normalerweise möchten Sie etwas wie „TLS 1.0 und höher“ ( SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2) und „Moderne Verschlüsselungssammlungen“ ( SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4). Das !kRSAbedeutet „kein RSA-Schlüsseltransport“, was effektiv Diffie-Hellman und Vorwärtsgeheimnis übrig lässt.
Die Konfiguration legt auch den STS-Header ( Strict-Transport-Security) fest.
# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https
SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog
SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost *:443>
SSLEngine on
DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com
ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4
SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem
SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLVerifyClient none
Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"
</VirtualHost>
Ich vermute auch, dass Sienichtmit OpenSSL 1.1.0. Wahrscheinlich verwenden Sie eher eine ältere FIPS-Version. Hier ist von derselben CetOS 7-VM:
$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
Die Betreuer portieren Patches zurück, sodass Sie im Wesentlichen nur wissen, dass (1) Sie irgendwo bei 1.0.1e angefangen haben, (2) Sie im Moment nicht wirklich wissen, was Sie haben, und (3) Sie über eine zusammengestückelte Vorrichtung ähnlich der von Frekenstein verfügen.