web-dev-qa-db-fra.com

Cipher Suite TLS 1.2 - Faible dans le SST

J'essaie de corriger le cryptage faible en TLS, en faisant un test en SSL Labs, il jette un cryptage faible dans la suite chérite suivante:

Configuration actuelle :

SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!AES128:!SHA1 

Cipher Suite TLS 1.2 - Faible :

  • TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3D) faible
  • TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9D) faibles

Version OHS: Oracle-http-Server-11g/11.1.1.9.0 (UNIX) MOD_SSL/11.1.9.0

Essayez de résoudre avec:

SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!AES128:!SHA1:!SHA256:!SHA384

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!RC4:!LOW:!MD5:!aNULL:!eNULL:!3DES:!EXP:!PSK:!SRP:!DSS 

SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!AES128:!SHA1:!TLS_RSA_WITH_AES_256_CBC_SHA256:!TLS_RSA_WITH_AES_256_GCM_SHA384

Aucun de ces paramètres n'a fonctionné pour ma configuration SSL dans le SST.

Quelqu'un a éliminé ces deux questions dans un cryptage faible?

3
Ventur

Les chiffres sont considérés comme faibles par les ssllabs car ils utilisent un échange de clé RSA qui ne fournit aucun secret avant. Pour désactiver l'échange de clé RSA dans vos chiffres, ajoutez !kRSA. En général, utilisez simplement le Générateur de configuration SSL Mozilla pour vous donner un paramètre sécurisé.

4
Steffen Ullrich

Si ces chiffres ne fonctionnent pas pendant que la RSA est alors vous pouvez avoir un mauvais certificat. Si le clé de la clé du certificat ne permet que cryptage (nécessaire pour l'établissement de clé basé sur RSA dans les chiffres TLS_RSA_CIPHERS), il ne fonctionnera pas pour une authentification basée sur RSA, ce qui nécessite la génération de signature Utilisation de la clé (nécessaire pour une authentification basée sur RSA dans les chiffres TLS_DHE_ et TLS_ECDHE).

Vous devrez peut-être réappliquer un certificat, de préférence à l'aide d'une nouvelle paire de clés - vous ne voudrez peut-être pas mélanger les utilisations clés en général, c'est pourquoi l'utilisation de la clé est dans le cert en premier lieu.

2
Maarten Bodewes