Ich habe gerade meine Site gescannt mitdieses Werkzeugund es hieß, meine Site sei anfällig für CVE-2014-0224. Wie behebe ich das?
Muss ich mir ein neues Zertifikat ausstellen lassen? Das, das ich habe, habe ich bei enom gekauft. Ist das deren Schuld? Oder ist es die Schuld meines Webservers (Webfaction)?
Es heißt auch:
Die RC4-Verschlüsselung wird mit TLS 1.1 oder neueren Protokollen verwendet, obwohl stärkere Verschlüsselungen verfügbar sind.
Und
Der Server unterstützt Forward Secrecy mit den Referenzbrowsern nicht.
Ich weiß nicht, ob das alles Fehler des SSL-Zertifikats sind oder ob mein Server die korrekte Bereitstellung unterstützen muss?
Antwort1
Sie müssen die Version von OpenSSL auf Ihrem Server aktualisieren. Die Schwachstelle liegt im Softwarecode selbst.
Mehr dazu lesen Sie hier:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
oder hier:
http://www.openssl.org/news/secadv_20140605.txt
Bearbeiten: wichtiger Text ist:
OpenSSL 0.9.8 SSL/TLS-Benutzer (Client und/oder Server) sollten auf 0.9.8za aktualisieren.
OpenSSL 1.0.0 SSL/TLS-Benutzer (Client und/oder Server) sollten auf 1.0.0m aktualisieren.
OpenSSL 1.0.1 SSL/TLS-Benutzer (Client und/oder Server) sollten auf 1.0.1h aktualisieren.
Antwort2
CVE-2014-0224 erfordert ein Update von OpenSSL.
Die RC4-Verschlüsselung wird mit TLS 1.1 oder neueren Protokollen verwendet, obwohl stärkere Verschlüsselungen verfügbar sind.
Und
Der Server unterstützt Forward Secrecy mit den Referenzbrowsern nicht.
sind bloße Probleme der Webserverkonfiguration.
Etwa so (unter der Annahme eines Apache):
SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'
wird empfohlen vonhttps://bettercrypto.org/ Angewandte Kryptohärtung. Die Verwendung von HTTP Strict Transport Security (hsts) sollte sorgfältig abgewogen werden, da sie Dinge beschädigen und die Serverlast drastisch erhöhen kann. Aus Sicherheitsgründen wird sie empfohlen.
Ihr Zertifikat ist wahrscheinlich in Ordnung, wenn es aber mit einer durch Heartbleed gefährdeten Version von OpenSSL verwendet wurde, müssen Sie es ersetzen (es könnte kompromittiert sein).
Für das Upgrade von OpenSSL und die Konfiguration des Webservers sind jedoch Superuser-Berechtigungen erforderlich. Wenn Sie Shared Hosting verwenden, können Sie nichts tun, außer das Hosting-Unternehmen zu bitten, das Problem zu beheben. Und denen wird es wahrscheinlich egal sein.