誰かが帽子を特定するのを手伝ってくれませんか?VAスキャナーから次のギャップがありますか?サーバーは複数のWebアプリをホストしていますが、すべての仮想ホストに同じ設定を使用しています。
20007-SSLバージョン2および3プロトコル検出
注:SSLEngineとSSLHonorCipherOrderは両方ともオンになっています。
これはプロトコル用です。すべて無効になり、TLSバージョン1.1および1.2のみが有効になりますが、スキャナーは引き続きSSL v3を検出します
SSLProtocol -All + TLSv1.1 + TLSv1.2
私もこの方法を試しました:
SSLProtocol all -SSLv2 -SSLv
私は次のことをテストしてみました:openssl s_client -connect localhost:443 -ssl2->失敗ハンドシェイク(これは問題ありません)openssl s_client -connect localhost:443 -ssl3->これは機能しますが、これがすべてに対して無効になっているため、理由を確認しないでくださいvHosts(設定は上記のものと同じです)
===============
他の2つの脆弱性:
42873-サポートされているSSL中強度の暗号スイートこれは、リモートサーバーでサポートされている中強度のSSL暗号のリストです。EDH-RSA-DES-CBC3-SHAKx = DH Au = RSA Enc = 3DES-CBC (168)Mac = SHA1 ECDHE-RSA-DES-CBC3-SHA Kx = ECDH Au = RSA Enc = 3DES-CBC(168)Mac = SHA1 DES-CBC3-SHA Kx = RSA Au = RSA Enc = 3DES-CBC(168 )Mac = SHA1
65821-サポートされるSSL RC4暗号スイート(Bar Mitzvah)リモートサーバーでサポートされるRC4暗号スイートのリスト:ECDHE-RSA-RC4-SHA Kx = ECDH Au = RSA Enc = RC4(128)Mac = SHA1 RC4-MD5 Kx = RSA Au = RSA Enc = RC4(128)Mac = MD5 RC4-SHA Kx = RSA Au = RSA Enc = RC4(128)Mac = SHA1
これはCipherSuiteです。スキャナーで見つかったすべての暗号を太字でマークしましたが、すべての暗号が私の構成で無効になっていますが、スキャン中にまだ表示されます。
SSLCipherSuite "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256!EECDH + aRSA + RC4 EECDH EDH + aRSA!NULL!RC4 !3DES!MD5!EXP!PSK!SRP!DSS!EDH-RSA-DES-CBC3-SHA!ECDHE-RSA-DES-CBC3-SHA!DES-CBC3-SHA!ECDHE-RSA-RC4-SHA!RC4-MD5!RC4-SHA "
注:私が持っているhttpdバージョンの変更ログには、前述のギャップのチェックによるCVEが含まれていません。また、設定を変更するたびにhttpdを再起動する必要があることも認識しています。
何か提案がある場合はお知らせください。何か不足している可能性があります。ありがとう。
トラブルのお詫び。私のチームメイトは、次の行も/etc/httpd/conf.d/ssl.confで更新する必要があることを発見しました:
SSLProtocol -all -TLSv1 + TLSv1.1 + TLSv1.2 -SSLv3
SSLCipherSuite "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256!EECDH + aRSA + RC4 EECDH EDH + aRSA!NULL!RC4 !3DES!MD5!EXP!PSK!SRP!DSS!EDH-RSA-DES-CBC3-SHA!ECDHE-RSA-DES-CBC3-SHA!DES-CBC3-SHA!ECDHE-RSA-RC4-SHA!RC4-MD5 !RC4-SHA」
更新されると、セキュリティスキャン結果がクリアされます。
Apache docを参照してください。これは、Apache centosサーバーでA +評価を行うための正しいドキュメントです。
https://httpd.Apache.org/docs/trunk/ssl/ssl_howto.html
「強力な暗号化のみを受け入れるSSLサーバーを作成するにはどうすればよいですか」のセクションを参照してください。
# "Modern" configuration, defined by the Mozilla Foundation's SSL Configuration
# Generator as of August 2016. This tool is available at
# https://mozilla.github.io/server-side-tls/ssl-config-generator/
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
# Many ciphers defined here require a modern version (1.0.1+) of OpenSSL. Some
# require OpenSSL 1.1.0, which as of this writing was in pre-release.
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off