Acabei de digitalizar meu site comesta ferramentae dizia que meu site estava vulnerável ao CVE-2014-0224. Como faço para corrigir isso?
Preciso emitir um novo certificado? O que eu comprei na enom. A culpa é deles? Ou é culpa do meu servidor web (webfaction)?
Também diz:
A cifra RC4 é usada com protocolos TLS 1.1 ou mais recentes, embora cifras mais fortes estejam disponíveis.
e
O servidor não suporta Forward Secrecy com os navegadores de referência.
Não sei se tudo isso são falhas do certificado SSL ou se meu servidor precisa oferecer suporte para servi-lo corretamente.
Responder1
Você precisa atualizar a versão do OpenSSL em seu servidor. A vulnerabilidade está no próprio código do software.
Você pode ler mais aqui:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
ou aqui:
http://www.openssl.org/news/secadv_20140605.txt
editar: o texto importante é:
Usuários SSL/TLS do OpenSSL 0.9.8 (cliente e/ou servidor) devem atualizar para 0.9.8za.
Usuários SSL/TLS do OpenSSL 1.0.0 (cliente e/ou servidor) devem atualizar para 1.0.0m.
Usuários SSL/TLS do OpenSSL 1.0.1 (cliente e/ou servidor) devem atualizar para 1.0.1h.
Responder2
CVE-2014-0224 requer uma atualização do openssl.
A cifra RC4 é usada com protocolos TLS 1.1 ou mais recentes, embora cifras mais fortes estejam disponíveis.
e
O servidor não suporta Forward Secrecy com os navegadores de referência.
são meros problemas de configuração do servidor web.
Algo assim (assumindo um apache):
SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'
é recomendado porhttps://bettercrypto.org/ Endurecimento criptográfico aplicado. O uso de HTTP Strict Transport Security (hsts) deve ser avaliado com cuidado, pois pode quebrar coisas e aumentar drasticamente a carga do servidor. Do ponto de vista da segurança, é recomendado.
Seu certificado provavelmente está bom, mas se ele tiver sido usado com uma versão explorável do openssl, você precisará substituí-lo (ele pode estar comprometido).
No entanto, atualizar o openssl e configurar o servidor web exigirá privilégios de superusuário. Se você estiver usando hospedagem compartilhada, não há nada que você possa fazer além de pedir à empresa de hospedagem para consertar. E eles provavelmente não vão dar a mínima.