Estou tentando seguir as instruções localizadasaquipara mitigar a vulnerabilidade do logjam, no entanto, continuo recebendo o seguinte erro do appache:
Syntax error on line 18 of /etc/apache2/sites-enabled/000-default:
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
Action 'configtest' failed.
Quando adiciono a seguinte linha à configuração:
SSLOpenSSLConfCmd DHParameters /etc/ssl/certs/dhparams.pem
Os detalhes do meu appache são:
Server version: Apache/2.2.16 (Debian)
Server built: Oct 16 2014 10:27:58
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.4.2, APR-Util 1.3.9
Compiled using: APR 1.4.2, APR-Util 1.3.9
Architecture: 32-bit
Server MPM: Prefork
threaded: no
forked: yes (variable process count)
Server compiled with....
-D APACHE_MPM_DIR="server/mpm/prefork"
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=128
-D HTTPD_ROOT="/etc/apache2"
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="mime.types"
-D SERVER_CONFIG_FILE="apache2.conf"
Tenho pesquisado, mas não consigo encontrar nenhuma maneira de resolver esse problema.
Responder1
DeDocumentação do Apache, a SSLOpenSSLConfCmdopção foi adicionada na versão 2.4.8:
Compatibilidade: Disponível em httpd 2.4.8 e posterior, se estiver usando OpenSSL 1.0.2 ou posterior
Você precisará atualizar para uma versão posterior do Apache se precisar usar esta opção.
Responder2
também apache 2.2.22 (debian 7) também removi as cifras problemáticas uma por uma, de acordo com o teste qualys ssl labshttps://www.ssllabs.com/ssltest/index.htmlagora passa, apenas WinXP/IE6 é incompatível
Cifra que acabei usando:
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
isso se baseia na recomendação dehttps://weakdh.org/sysadmin.htmlmas removendo as cifras dh que o teste marcou como problemáticas
Responder3
O parâmetro de configuração "SSLOpenSSLConfCmd" não está funcionando para Apache 2.2 e não fornece nenhum parâmetro de configuração semelhante para isso. Embora exista uma solução alternativa para o Apache 2.2 até que haja um patch oficial:https://bitbucket.org/snippets/wneessen/grb8
Responder4
Eu evito o logjam em um servidor Apache 2.4, mas com o openssl 1.0.1 usando isso
SSLProtocol -all +TLSv1 +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
Então eu crio os dhparams
openssl dhparam -out dhparams.pem 2048
chmod 600 dhparams.pem
e adicione ao certificado
cat /etc/ssl/certs/dhparams.pem >> /etc/ssl/certs/serverhttp.crt
recarregar o apache
apachectl -k graceful
E verifique com a ferramenta nestesite ou com nmap
nmap --script ssl-enum-ciphers -p 443 yourserver |grep weak