私は私たちのボックスに対してネットワークスキャンを行っており、Ncircleは SSLサーバーはSSLv3のRC4暗号をサポートしています を報告しました。それに基づいて検索を行い、/etc/Apache/conf.d/security
に以下を追加する予定です。
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
したがって、私がよく理解している場合、記号!
はプログラミング言語のような否定であり、私のルールは次のようになります。
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
レポートを読み続けたところ、 CBCのサポート および weak MAC について不満がありました。
検索したところ、2つのブログ hynek.me および raymii.org が見つかりました。少し混乱しています。最近どの指令が私の現在の問題に対処しています。
私がこれを引き抜くには少し啓蒙が必要です。ありがとうございました
編集:
多くのトラブルと読書の後。私はこれを思いつきました:
ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT
確認しました
openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC
openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4
これで十分かどうかはわかりません。一部のブラウザでは互換性の問題があると思います。
リストにはまだいくつかのRC4暗号があります。サーバーが提供する暗号を確認するには、リストを「openssl ciphers -V」に入力します。
$ openssl ciphers -V 'ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT' | grep RC4
0xC0,0x11 - ECDHE-RSA-RC4-SHA SSLv3 Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1
0xC0,0x07 - ECDHE-ECDSA-RC4-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=RC4(128) Mac=SHA1
0xC0,0x16 - AECDH-RC4-SHA SSLv3 Kx=ECDH Au=None Enc=RC4(128) Mac=SHA1
0xC0,0x0C - ECDH-RSA-RC4-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128) Mac=SHA1
0xC0,0x02 - ECDH-ECDSA-RC4-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128) Mac=SHA1
0x00,0x8A - PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) Mac=SHA1
サーバーを正しく構成するための良い情報源はssllabs.comです。有用な暗号設定の例については、 https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-Apache-nginx-and-openssl-for-forward-secrecy を参照してください。