Я только что просмотрел свой сайт с помощьюэтот инструменти там было написано, что мой сайт уязвим к CVE-2014-0224. Как мне это исправить?
Мне нужно выпустить новый сертификат? Тот, что у меня есть, я купил у enom. Это их вина? Или это вина моего веб-сервера (webfaction)?
Там также говорится:
Шифр RC4 используется с протоколами TLS 1.1 или более новыми, хотя доступны и более сильные шифры.
и
Сервер не поддерживает прямую секретность с указанными браузерами.
Я не знаю, являются ли это все ошибками SSL-сертификата или мой сервер должен поддерживать его корректную работу?
решение1
Вам необходимо обновить версию OpenSSL на вашем сервере. Уязвимость находится в самом программном коде.
Вы можете прочитать больше здесь:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
или здесь:
http://www.openssl.org/news/secadv_20140605.txt
правка: важный текст:
Пользователи OpenSSL 0.9.8 SSL/TLS (клиент и/или сервер) должны обновиться до 0.9.8za.
Пользователи OpenSSL 1.0.0 SSL/TLS (клиент и/или сервер) должны обновиться до 1.0.0m.
Пользователи OpenSSL 1.0.1 SSL/TLS (клиент и/или сервер) должны обновиться до 1.0.1h.
решение2
CVE-2014-0224 требует обновления openssl.
Шифр RC4 используется с протоколами TLS 1.1 или более новыми, хотя доступны и более сильные шифры.
и
Сервер не поддерживает прямую секретность с указанными браузерами.
— это всего лишь проблемы с конфигурацией веб-сервера.
Что-то вроде этого (предполагается, что это Apache):
SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'
рекомендуетсяhttps://bettercrypto.org/ Applied Crypto Hardening. Использование HTTP Strict Transport Security (hsts) следует тщательно взвешивать, так как это может привести к поломке и резкому увеличению нагрузки на сервер. С точки зрения безопасности это рекомендуется.
Ваш сертификат, скорее всего, в порядке, но если он использовался с уязвимой версией OpenSSL, вам придется заменить его (он может быть скомпрометирован).
Однако обновление openssl и настройка веб-сервера потребуют привилегий суперпользователя. Если вы используете общий хостинг, вам ничего не остается, как попросить хостинговую компанию исправить это. И им, скорее всего, будет наплевать.