Estoy tratando de seguir las instrucciones ubicadas.aquípara mitigar la vulnerabilidad del atasco, sin embargo, sigo recibiendo el siguiente error de appache:
Syntax error on line 18 of /etc/apache2/sites-enabled/000-default:
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
Action 'configtest' failed.
Cuando agrego la siguiente línea a la configuración:
SSLOpenSSLConfCmd DHParameters /etc/ssl/certs/dhparams.pem
Los detalles de mi appache son:
Server version: Apache/2.2.16 (Debian)
Server built: Oct 16 2014 10:27:58
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.4.2, APR-Util 1.3.9
Compiled using: APR 1.4.2, APR-Util 1.3.9
Architecture: 32-bit
Server MPM: Prefork
threaded: no
forked: yes (variable process count)
Server compiled with....
-D APACHE_MPM_DIR="server/mpm/prefork"
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=128
-D HTTPD_ROOT="/etc/apache2"
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="mime.types"
-D SERVER_CONFIG_FILE="apache2.conf"
He estado buscando, pero no encuentro ninguna manera de resolver este problema.
Respuesta1
Desde eldocumentación de apache, la SSLOpenSSLConfCmdopción se agregó en la versión 2.4.8:
Compatibilidad: Disponible en httpd 2.4.8 y posterior, si usa OpenSSL 1.0.2 o posterior
Deberá actualizar a una versión posterior de Apache si necesita utilizar esta opción.
Respuesta2
también apache 2.2.22 (debian 7) También eliminé los cifrados problemáticos uno por uno, según la prueba de qualys ssl labshttps://www.ssllabs.com/ssltest/index.htmlpasa ahora, sólo WinXP/IE6 es incompatible
Cifrado que terminé usando:
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
esto se basa en la recomendación dehttps://weakdh.org/sysadmin.htmlpero eliminando los cifrados dh que la prueba marcó como problemáticos
Respuesta3
El parámetro de configuración "SSLOpenSSLConfCmd" no funciona para Apache 2.2 y no proporciona ningún parámetro de configuración similar para esto. Aunque existe una solución alternativa para Apache 2.2 hasta que haya un parche oficial:https://bitbucket.org/snippets/wneessen/grb8
Respuesta4
Evito el atasco en un servidor apachet 2.4 pero con openssl 1.0.1 usando esto
SSLProtocol -all +TLSv1 +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
Luego creo los dhparams
openssl dhparam -out dhparams.pem 2048
chmod 600 dhparams.pem
y agregar al certificado
cat /etc/ssl/certs/dhparams.pem >> /etc/ssl/certs/serverhttp.crt
recargar apache
apachectl -k graceful
Y compruébalo con la herramienta en estesitio o con nmap
nmap --script ssl-enum-ciphers -p 443 yourserver |grep weak