RHEL4でApache 2.0を実行しているWebサーバーがあります。このサーバーは最近PCIスキャンに失敗しました。
理由:SSLv3.0/TLSv1.0プロトコルの弱いCBCモードの脆弱性ソリューション:この攻撃は、2004年以降に修正されたTLSプロトコルのリビジョンで確認されました。可能であれば、TLSv1.1またはTLSv1.2にアップグレードしてください。 TLSv1.1またはTLSv1.2へのアップグレードが不可能な場合は、CBCモードの暗号を無効にすると脆弱性が取り除かれます。 Apacheで次のSSL構成を使用すると、この脆弱性が緩和されます。SSLCorpherSuiteのSSLHonorCipherOrder RC4-SHA:HIGH:!ADH
簡単な修正だと思いました。 Apache構成に行を追加しましたが、機能しませんでした。どうやら
「SSLHonorCipherOrder On」は、Apache 2.2以降でのみ機能します。私はApacheをアップグレードしようとしましたが、すぐに依存関係の地獄に遭遇しました。Apache2.2にアップグレードするには、OS全体をアップグレードする必要があるようです。このサーバーは数か月で廃止されるため、価値はありません。
ソリューションは「TLSv1.1またはTLSv1.2へのアップグレードが不可能な場合、CBCモードの暗号を無効にすると脆弱性が取り除かれます。」
Apache 2.0でこれを行うにはどうすればよいですか?これは可能ですか?そうでない場合、他の回避策はありますか?
新しいApacheを手動でコンパイルする以外に、RC4-SHAをonlyでサポートされる暗号(_openssl ciphers RC4-SHA
_現在のopensslで1つの暗号のみを出力することを確認するために、同じことを実行して、古いopensslの奇妙な古い暗号と一致しないことを確認することができます。
_SSLCipherSuite RC4-SHA
_
MSはWindows XP suports TLS_RSA_WITH_RC4_128_SHA と言っているので、互換性の問題はないはずです。
サーバーレベルでBEASTを「修正」する方法は2つしかありません。
最善のオプションは、サーバーのSSLライブラリをTLS v1.1以降をサポートするものにアップグレードすることです(クライアントがそれもサポートしていることを確認して、強制的に使用できるようにします)。
もう1つのオプションは、CBC(Cypher-Block-Chaining)暗号化アルゴリズムを無効にし、ECB(Electronic Code Book)暗号またはRC4(ECBアルゴリズムは理論的には「安全性が低い」です。キーは常に同じ暗号文にマッピングされるため、既知の平文攻撃で簡単に破ることができますが、実際には、これは大きな問題にはなりません。Google(例として)はまだRC4を使用しています)。
あなたが実行しているサーバーは死んでいて、埋もれていて、これを分解することは、パッチを当てたApacheをビルドするのに必要な労力の価値がないので(ApacheとOpenSSLを分離して再ビルドする必要があります。 OpenSSLのバージョンがシステムにデフォルトでインストールされている必要があります-これだけ多くの作業を行っている場合は、システム全体を実際にサポートされているものにアップグレードすることもできます)。そのため、「ECBサイファーへの切り替え」はほとんど不要です。あなたの実行可能なソリューション。
BEASTは最近の攻撃の真っ只中です- すべての人気のあるブラウザ(IE、Chrome、Safari、Opera)は効果的な回避策を実装しています 、そして way攻撃は機能します ブラウザの外で実装するのはかなり難しいです(apt
とyum
はまだかなり安全です)。
GoogleのAdam Langleyが今年初めに素晴らしい講演を行いました これは、re:SSLとセキュリティに集中すべきいくつかの問題点の概要です-BEASTが言及を獲得しましたが、リストの一番下にありました気になることの数々。
Ssllabs.comテストに合格する唯一の解決策は、Apache httpd.confファイルとssl.confファイルに次の4行を追加することです。
SSLHonorCipherOrder On
SSLProtocol -all + TLSv1 + SSLv3
SSLCipherSuite RC4-SHA:HIGH:!MD5:!aNULL:!EDH:!ADH
SSLInsecureRenegotiationオフ
これらの設定がssl.confファイルに2回投稿されていないことを確認してください。
現在、私のサイトはAで合格しています。