Tengo un servidor de prueba que ejecuta Centos 6.8 y no puedo superar este mensaje cuando ejecuto una prueba de SSL Labs:https://www.ssllabs.com/ssltest/analyze.html?d=biduno.com&latest
Este servidor es vulnerable a la vulnerabilidad OpenSSL Padding Oracle (CVE-2016-2107) y es inseguro. La calificación se estableció en F. Creo que tiene que ver con open openssl y tengo la última versión de OpenSSL 1.1.0c del 10 de noviembre de 2016.
¿Podría tener que ver con mis cifrados?
Protocolo SSL TODOS -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:AES256-SHA256:!RC4:ALTO:MEDIO:+TLSv1:+TLSv1.1:+TLSv1.2:!MD5:!ADH:! aNULL:!eNULL:!NULL:!DH:!ADH:!EDH:!AESGCM SSLHonorCipherOrder en
Respuesta1
Bueno, tienes que ajustar protocolos, cifrados y algunas otras configuraciones para adaptarlos a tus gustos. También está mezclando protocolos y conjuntos de cifrado, lo que probablemente no sea bueno.
Aquí está la configuración básica de SSL/TLS parawww.cryptopp.com, que es un proyecto de código abierto en el que ayudo. Se ejecuta en una máquina virtual CentOS 7 y obtiene una puntuación de "A" en las pruebas de Qualsys. Ninguno de nosotros somos expertos en Apache, así que tome la configuración al pie de la letra. Hacemos lo suficiente para que los usuarios no experimenten problemas, pero no mucho más.
Por lo general, desea algo como "TLS 1.0 y superior" ( SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2) y "Suites de cifrado modernos" ( SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4). Esto !kRSAsignifica "sin transporte de claves RSA", lo que efectivamente deja a Diffie-Hellman y al secreto de reenvío.
La configuración también establece el encabezado STS ( Strict-Transport-Security).
# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https
SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog
SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost *:443>
SSLEngine on
DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com
ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4
SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem
SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLVerifyClient none
Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"
</VirtualHost>
También supongo que lo eresnoutilizando OpenSSL 1.1.0. Más bien, probablemente esté utilizando una versión FIPS anterior. Aquí es de la misma VM CetOS 7:
$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
Los mantenedores respaldan los parches, así que todo lo que sabes es (1) que comenzaste en algún lugar alrededor de 1.0.1e, (2) no sabes realmente lo que tienes en este momento y (3) tienes un artilugio similar a Frekenstein que ha sido reconstruidos.