Tenho um servidor de teste executando o Centos 6.8 e não consigo superar esta mensagem ao executar um teste do SSL Labs:https://www.ssllabs.com/ssltest/analyze.html?d=biduno.com&latest
Este servidor é vulnerável à vulnerabilidade OpenSSL Padding Oracle (CVE-2016-2107) e inseguro. Nota definida como F. Acredito que tenha a ver com open openssl e tenho a versão mais recente OpenSSL 1.1.0c 10 de novembro de 2016.
Poderia ter a ver com minhas cifras?
SSLProtocol ALL -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:AES256-SHA256:!RC4:HIGH:MEDIUM:+TLSv1:+TLSv1.1:+TLSv1.2:!MD5:!ADH:! aNULL:!eNULL:!NULL:!DH:!ADH:!EDH:!AESGCM SSLHonorCipherOrder on
Responder1
Bem, você precisa ajustar protocolos, cifras e algumas outras configurações de acordo com seu gosto. Você também está misturando protocolos e conjuntos de criptografia, o que provavelmente não é bom.
Aqui está a configuração básica de SSL/TLS parawww.cryptopp.com, que é um projeto de código aberto no qual ajudo. Ele é executado em uma VM CentOS 7 e obtém nota "A" nos testes Qualsys. Nenhum de nós é especialista em Apache, então considere a configuração pelo valor nominal. Fazemos o suficiente para que os usuários não tenham problemas, mas não muito mais.
Normalmente você deseja algo como "TLS 1.0 e superior" ( SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2) e "Conjuntos de criptografia modernos" ( SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4). Isso !kRSAsignifica "sem transporte de chave RSA", o que efetivamente deixa Diffie-Hellman e encaminha o sigilo.
A configuração também define o cabeçalho STS ( Strict-Transport-Security).
# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https
SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog
SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost *:443>
SSLEngine on
DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com
ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4
SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem
SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLVerifyClient none
Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"
</VirtualHost>
Eu também estou supondo que você estánãousando OpenSSL 1.1.0. Em vez disso, você provavelmente está usando uma versão FIPS mais antiga. Aqui está a mesma VM CetOS 7:
$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
Patches de backport dos mantenedores, então tudo que você sabe é (1) você começou em algum lugar por volta de 1.0.1e, (2) você realmente não sabe o que tem no momento e (3) você tem uma engenhoca do tipo Frekenstein que foi juntou os pedaços.