web-dev-qa-db-fra.com

Désactivation des protocoles faibles et des chiffres à Centos avec Apache

Quelqu'un peut-il m'aider à déterminer que le chapeau pourrait être la raison pour laquelle je suis toujours en train d'obtenir VA lacunes de scanner pour ce qui suit? Mon serveur héberge plusieurs applications Web, mais j'utilise les mêmes paramètres pour tous les hôtes virtuels.

20007 - Détection de protocole SSL Version 2 et 3

Remarque: SSLENGINE et SSLHONORCIPHERORDER sont à la fois écoulés.

Ceci est pour les protocoles. Tout est désactivé et seules les versions TLS 1.1 ANS 1.2 sont activées, cependant, le scanner détecte toujours SSL V3.

SSLProtocol -all + TLSV1.1 + TLSV1.2

J'ai aussi essayé de cette façon:

SSLProtocol Tout -SSLV2 -SSLV3

J'ai essayé tester ce qui suit: openssl s_client -connect localhost localhost: 443 -SSL2 -> Handshake de défaillance (qui est OK) OpenSSL S_CLIENT -Connect localhost: 443 -SSL3 -> Cela fonctionne et non shree pourquoi, parce que cela a été désactivé pour tous Vhosts (les paramètres sont comme celui ci-dessus)

===== ==========

Les 2 autres vulnérabilités:

42873 - SSL Moyenne résistance Suites Supports pris en charge Voici la liste des chiffres SSL de taille moyenne pris en charge par le serveur distant: EDH-RSA-DES-CBC3-SHA KX = DH AU = RSA ENC = 3DES -CBC (168) Mac = SHA1 ECDHE-RSA-DES-CBC3-SHA KX = ECDH AU = RSA ENC = 3DES-CBC (168) MAC = SHA1 DES-CBC3-SHA KX = RSA AU = RSA ENC = 3DES-CBC (168) Mac = SHA1

65821 - SSL RC4 Cipher Suites Pris en charge (Bar Mitzvah) Liste des suites Cipher RC4 Pris en charge par le serveur distant: ECDHE-RSA-RC4-SHA KX = ECDH AU = RSA ENC = RC4 (128) Mac = SHA1 RC4-MD5 KX = RSA AU = RSA ENC = RC4 (128) MAC = MD5 RC4-SHA KX = RSA AU = RSA ENC = RC4 (128) MAC = SHA1

C'est la ciphersuite. J'ai marqué audacieux tous les chiffres trouvés dans le scanner et tous ont été désactivés sur ma configuration, mais ils apparaissent toujours pendant la numérisation:

SSLCIPHERSUITE "EECDH + ECDSA + AESGCM EECDH + AESA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + SHA384 EECDH + SHA384 EECDH + SHA256! EECDH + ARSA + RC4 EECDH EDH + ARSA! RC4! ARSA! RC4! ARSA! ! 3DES! MD5! EXP! PSK! SRP! SRP! DSS! EDH-RSA-DES-CBC3-SHA! ECDHE-RSA-DES-CBC3-SHA! DES-CBC3-SHA == ! ECDHE-RSA-RC4-SHA! RC4-MD5! RC4-SHA "

Remarque: modifier le journal de la version httpd que j'ai n'inclut pas les cves pour les lacunes mentionnées conformément à la vérification. Je suis également conscient que HTTPD doit être redémarré après chaque modification de configuration.

Veuillez indiquer si l'une d'entre vous a des suggestions, je pourrais manquer quelque chose. Merci.

3
Chyornaya Vdova

excuses pour le problème. Mon équipe Mate a découvert que les lignes suivantes doivent également être mises à jour dans /etc/httpd/conf.d/ssl.conf:

SSLProtocol -All -Tlsv1 + TLSV1.1 + TLSV1.2 -SSLV3

SSLCIPHERSUITE "EECDH + ECDSA + AESGCM EECDH + AESA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + SHA384 EECDH + SHA384 EECDH + SHA256! EECDH + ARSA + RC4 EECDH EDH + ARSA! RC4! ARSA! RC4! ARSA! ! 3DES! MD5! EXP! PSK! SRP! SRP! DSS! EDH-RSA-DES-CBC3-SHA! ECDHE-RSA-DES-CBC3-SHA! DES-CBC3-SHA! ECDHE-RSA-RC4-SHA! RC4-MD5 ! RC4-SHA "

Une fois mis à jour, il a effacé le résultat de la numérisation de sécurité.

2
Chyornaya Vdova

Reportez-vous au DOC Apache, il s'agit de la documentation correcte qui rendra une note + sur Apache Centos Server.

https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html

Reportez-vous à la section "Comment créer un serveur SSL qui accepte un cryptage puissant uniquement?"

# "Modern" configuration, defined by the Mozilla Foundation's SSL Configuration
# Generator as of August 2016. This tool is available at
# https://mozilla.github.io/server-side-tls/ssl-config-generator/
SSLProtocol         all -SSLv3 -TLSv1 -TLSv1.1
# Many ciphers defined here require a modern version (1.0.1+) of OpenSSL. Some
# require OpenSSL 1.1.0, which as of this writing was in pre-release.
SSLCipherSuite      ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression      off
SSLSessionTickets   off
1
nisamudeen97