web-dev-qa-db-fra.com

Comment désactiver le chiffrement RC4 dans Ubuntu 12.04

J'ai fait une analyse réseau pour notre box et Ncircle a rapporté SSL Server support ciphers RC4 for SSLv . Sur cette base, j'ai fait une recherche et je prévois d'ajouter à /etc/Apache/conf.d/security le suivant:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

Donc, si je comprends bien, le signe ! est une négation comme dans un langage de programmation alors mes règles doivent être les suivantes:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT   

J'ai continué à lire le rapport et on s'est plaint de support pour CBC et MAC faible

J'ai cherché sur et j'ai trouvé 2 blogs hynek.me et raymii.org . Je suis un peu confus. Les directives récentes répondent à mes problèmes actuels.

Un peu d'éclaircissement est nécessaire pour moi de cueillir cela. Je vous remercie

MODIFIER:

Après beaucoup de mal et lecture. Je suis venu avec ceci:

ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT

J'ai vérifié avec

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4

Je ne sais pas si c'est suffisant. Je soupçonne que certains navigateurs pourraient avoir des problèmes de compatibilité avec cela.

8
black sensei

Il y a encore quelques chiffres RC4 dans votre liste. Pour vérifier quels chiffrements sont proposés par le serveur, entrez votre liste dans les chiffrements openssl -V, c'est-à-dire.

  $ openssl ciphers -V 'ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT' | grep RC4
      0xC0,0x11 - ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
      0xC0,0x07 - ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
      0xC0,0x16 - AECDH-RC4-SHA           SSLv3 Kx=ECDH     Au=None Enc=RC4(128)  Mac=SHA1
      0xC0,0x0C - ECDH-RSA-RC4-SHA        SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0xC0,0x02 - ECDH-ECDSA-RC4-SHA      SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0x00,0x8A - PSK-RC4-SHA             SSLv3 Kx=PSK      Au=PSK  Enc=RC4(128)  Mac=SHA1

Ssllabs.com est une bonne source pour configurer correctement votre serveur. Pour des exemples de paramètres de chiffrement utiles, voir https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-Apache-nginx-and-openssl-for-forward-secrecy .

7
Steffen Ullrich