Quelqu'un peut-il m'aider à déterminer que le chapeau pourrait être la raison pour laquelle je suis toujours en train d'obtenir VA lacunes de scanner pour ce qui suit? Mon serveur héberge plusieurs applications Web, mais j'utilise les mêmes paramètres pour tous les hôtes virtuels.
20007 - Détection de protocole SSL Version 2 et 3
Remarque: SSLENGINE et SSLHONORCIPHERORDER sont à la fois écoulés.
Ceci est pour les protocoles. Tout est désactivé et seules les versions TLS 1.1 ANS 1.2 sont activées, cependant, le scanner détecte toujours SSL V3.
SSLProtocol -all + TLSV1.1 + TLSV1.2
J'ai aussi essayé de cette façon:
SSLProtocol Tout -SSLV2 -SSLV3
J'ai essayé tester ce qui suit: openssl s_client -connect localhost localhost: 443 -SSL2 -> Handshake de défaillance (qui est OK) OpenSSL S_CLIENT -Connect localhost: 443 -SSL3 -> Cela fonctionne et non shree pourquoi, parce que cela a été désactivé pour tous Vhosts (les paramètres sont comme celui ci-dessus)
===== ==========
Les 2 autres vulnérabilités:
42873 - SSL Moyenne résistance Suites Supports pris en charge Voici la liste des chiffres SSL de taille moyenne pris en charge par le serveur distant: EDH-RSA-DES-CBC3-SHA KX = DH AU = RSA ENC = 3DES -CBC (168) Mac = SHA1 ECDHE-RSA-DES-CBC3-SHA KX = ECDH AU = RSA ENC = 3DES-CBC (168) MAC = SHA1 DES-CBC3-SHA KX = RSA AU = RSA ENC = 3DES-CBC (168) Mac = SHA1
65821 - SSL RC4 Cipher Suites Pris en charge (Bar Mitzvah) Liste des suites Cipher RC4 Pris en charge par le serveur distant: ECDHE-RSA-RC4-SHA KX = ECDH AU = RSA ENC = RC4 (128) Mac = SHA1 RC4-MD5 KX = RSA AU = RSA ENC = RC4 (128) MAC = MD5 RC4-SHA KX = RSA AU = RSA ENC = RC4 (128) MAC = SHA1
C'est la ciphersuite. J'ai marqué audacieux tous les chiffres trouvés dans le scanner et tous ont été désactivés sur ma configuration, mais ils apparaissent toujours pendant la numérisation:
SSLCIPHERSUITE "EECDH + ECDSA + AESGCM EECDH + AESA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + SHA384 EECDH + SHA384 EECDH + SHA256! EECDH + ARSA + RC4 EECDH EDH + ARSA! RC4! ARSA! RC4! ARSA! ! 3DES! MD5! EXP! PSK! SRP! SRP! DSS! EDH-RSA-DES-CBC3-SHA! ECDHE-RSA-DES-CBC3-SHA! DES-CBC3-SHA == ! ECDHE-RSA-RC4-SHA! RC4-MD5! RC4-SHA "
Remarque: modifier le journal de la version httpd que j'ai n'inclut pas les cves pour les lacunes mentionnées conformément à la vérification. Je suis également conscient que HTTPD doit être redémarré après chaque modification de configuration.
Veuillez indiquer si l'une d'entre vous a des suggestions, je pourrais manquer quelque chose. Merci.
excuses pour le problème. Mon équipe Mate a découvert que les lignes suivantes doivent également être mises à jour dans /etc/httpd/conf.d/ssl.conf:
SSLProtocol -All -Tlsv1 + TLSV1.1 + TLSV1.2 -SSLV3
SSLCIPHERSUITE "EECDH + ECDSA + AESGCM EECDH + AESA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + SHA384 EECDH + SHA384 EECDH + SHA256! EECDH + ARSA + RC4 EECDH EDH + ARSA! RC4! ARSA! RC4! ARSA! ! 3DES! MD5! EXP! PSK! SRP! SRP! DSS! EDH-RSA-DES-CBC3-SHA! ECDHE-RSA-DES-CBC3-SHA! DES-CBC3-SHA! ECDHE-RSA-RC4-SHA! RC4-MD5 ! RC4-SHA "
Une fois mis à jour, il a effacé le résultat de la numérisation de sécurité.
Reportez-vous au DOC Apache, il s'agit de la documentation correcte qui rendra une note + sur Apache Centos Server.
https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html
Reportez-vous à la section "Comment créer un serveur SSL qui accepte un cryptage puissant uniquement?"
# "Modern" configuration, defined by the Mozilla Foundation's SSL Configuration
# Generator as of August 2016. This tool is available at
# https://mozilla.github.io/server-side-tls/ssl-config-generator/
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
# Many ciphers defined here require a modern version (1.0.1+) of OpenSSL. Some
# require OpenSSL 1.1.0, which as of this writing was in pre-release.
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off