web-dev-qa-db-ja.com

Ubuntu 12.04でRC4暗号を無効にする方法

私は私たちのボックスに対してネットワークスキャンを行っており、Ncircleは SSLサーバーはSSLv3のRC4暗号をサポートしています を報告しました。それに基づいて検索を行い、/etc/Apache/conf.d/securityに以下を追加する予定です。

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

したがって、私がよく理解している場合、記号!はプログラミング言語のような否定であり、私のルールは次のようになります。

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT   

レポートを読み続けたところ、 CBCのサポート および weak MAC について不満がありました。

検索したところ、2つのブログ hynek.me および raymii.org が見つかりました。少し混乱しています。最近どの指令が私の現在の問題に対処しています。

私がこれを引き抜くには少し啓蒙が必要です。ありがとうございました

編集:

多くのトラブルと読書の後。私はこれを思いつきました:

ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT

確認しました

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4

これで十分かどうかはわかりません。一部のブラウザでは互換性の問題があると思います。

8
black sensei

リストにはまだいくつかのRC4暗号があります。サーバーが提供する暗号を確認するには、リストを「openssl ciphers -V」に入力します。

  $ openssl ciphers -V 'ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT' | grep RC4
      0xC0,0x11 - ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
      0xC0,0x07 - ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
      0xC0,0x16 - AECDH-RC4-SHA           SSLv3 Kx=ECDH     Au=None Enc=RC4(128)  Mac=SHA1
      0xC0,0x0C - ECDH-RSA-RC4-SHA        SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0xC0,0x02 - ECDH-ECDSA-RC4-SHA      SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0x00,0x8A - PSK-RC4-SHA             SSLv3 Kx=PSK      Au=PSK  Enc=RC4(128)  Mac=SHA1

サーバーを正しく構成するための良い情報源はssllabs.comです。有用な暗号設定の例については、 https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-Apache-nginx-and-openssl-for-forward-secrecy を参照してください。

7
Steffen Ullrich