web-dev-qa-db-ja.com

TLS 1.0の無効化、RC4の有効化、またはAESのみでのTLS1.0の使用は、BEASTサーバー側を軽減する唯一の方法ですか?

BEASTは悪用するのが非常に困難であり、ほとんどの場合、最新のブラウザーで修正済みであることを理解しています。

また、RC4を有効にすると、他のリスクが発生します。したがって、ほとんど不可能である悪用可能なBEAST攻撃をサーバー側でのみ軽減したい場合は、! TLS 1.0のサポートを停止する唯一の方法は何ですか?または、AESでのみTLS 1.0を使用して、それも修正しますか?

どちらのソリューションでも、ブラウザの互換性を最小限に抑えながら、サーバー側のBEASTを軽減します。

1
Bob Ortiz

ほとんどの場合、弱い暗号を無効にすることで問題を解決できます。

Opensslを使用している場合:openssl ciphers -v 'ECDH + AESGCM:DH + AESGCM:ECDH + AES256:DH + AES256:ECDH + AES128:DH + AES:RSA + AESGCM:RSA + AES:!aNULL:!MD5 :! DSSは安全な暗号スイートを有効にします。

詳細については、調査中に遭遇した以下のリンクをご覧ください。 https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/