Acabo de escanear mi sitio conesta herramientay decía que mi sitio era vulnerable a CVE-2014-0224. ¿Cómo lo soluciono?
¿Necesito que me emitan un nuevo certificado? El que tengo lo compré en enom. ¿Es su culpa? ¿O es culpa de mi servidor web (webfaction)?
También dice:
El cifrado RC4 se utiliza con TLS 1.1 o protocolos más nuevos, aunque hay cifrados más potentes disponibles.
y
El servidor no admite Forward Secrecy con los navegadores de referencia.
No sé si todas estas son fallas del certificado SSL o si mi servidor necesita admitir el servicio correcto.
Respuesta1
Necesita actualizar la versión de OpenSSL en su servidor. La vulnerabilidad está en el propio código del software.
Puede leer más aquí:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
o aquí:
http://www.openssl.org/news/secadv_20140605.txt
editar: el texto importante es:
Los usuarios de OpenSSL 0.9.8 SSL/TLS (cliente y/o servidor) deben actualizar a 0.9.8za.
Los usuarios de OpenSSL 1.0.0 SSL/TLS (cliente y/o servidor) deben actualizar a 1.0.0m.
Los usuarios de OpenSSL 1.0.1 SSL/TLS (cliente y/o servidor) deben actualizar a 1.0.1h.
Respuesta2
CVE-2014-0224 requiere una actualización de openssl.
El cifrado RC4 se utiliza con TLS 1.1 o protocolos más nuevos, aunque hay cifrados más potentes disponibles.
y
El servidor no admite Forward Secrecy con los navegadores de referencia.
Son meros problemas de configuración del servidor web.
Algo como esto (asumiendo un apache):
SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'
es recomendado porhttps://bettercrypto.org/ Endurecimiento criptográfico aplicado. El uso de HTTP Strict Transport Security (hsts) debe juzgarse cuidadosamente, ya que puede dañar cosas y aumentar drásticamente la carga del servidor. Desde el punto de vista de la seguridad, es recomendable.
Su certificado probablemente esté bien, pero si se ha utilizado con una versión explotable de openssl, debe reemplazarlo (podría estar comprometido).
Sin embargo, actualizar openssl y configurar el servidor web requerirá privilegios de superusuario. Si utiliza alojamiento compartido, no hay nada que pueda hacer además de pedirle a la empresa de alojamiento que lo solucione. Y a ellos probablemente les importe un carajo.