Ubuntu 12.04でRC4暗号を無効にする方法

Question

私は私たちのボックスに対してネットワークスキャンを行っており、Ncircleは SSLサーバーはSSLv3のRC4暗号をサポートしていますを報告しました。それに基づいて検索を行い、/etc/Apache/conf.d/securityに以下を追加する予定です。

SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

したがって、私がよく理解している場合、記号!はプログラミング言語のような否定であり、私のルールは次のようになります。

SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

レポートを読み続けたところ、 CBCのサポートおよび weak MAC について不満がありました。

検索したところ、2つのブログ hynek.me および raymii.org が見つかりました。少し混乱しています。最近どの指令が私の現在の問題に対処しています。

私がこれを引き抜くには少し啓蒙が必要です。ありがとうございました

編集：

多くのトラブルと読書の後。私はこれを思いつきました：

ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT

確認しました

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4

これで十分かどうかはわかりません。一部のブラウザでは互換性の問題があると思います。

Steffen Ullrich · Answer

リストにはまだいくつかのRC4暗号があります。サーバーが提供する暗号を確認するには、リストを「openssl ciphers -V」に入力します。

 $ openssl ciphers -V 'ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT' | grep RC4 0xC0,0x11 - ECDHE-RSA-RC4-SHA SSLv3 Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1 0xC0,0x07 - ECDHE-ECDSA-RC4-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=RC4(128) Mac=SHA1 0xC0,0x16 - AECDH-RC4-SHA SSLv3 Kx=ECDH Au=None Enc=RC4(128) Mac=SHA1 0xC0,0x0C - ECDH-RSA-RC4-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128) Mac=SHA1 0xC0,0x02 - ECDH-ECDSA-RC4-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128) Mac=SHA1 0x00,0x8A - PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) Mac=SHA1

サーバーを正しく構成するための良い情報源はssllabs.comです。有用な暗号設定の例については、 https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-Apache-nginx-and-openssl-for-forward-secrecy を参照してください。