Cipher Suite TLS 1.2 - Débil en OHS

Navega tus respuestas
3

Estoy tratando de corregir el cifrado débil en TLS, al realizar una prueba en SSL Labs , arroja un cifrado débil en la siguiente serie de archivos:

Configuración actual: 

SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!AES128:!SHA1

Cipher Suite TLS 1.2 - Débil:

  • TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) WEAK
  • TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) WEAK
  

Versión OHS: Oracle-HTTP-Server-11g / 11.1.1.9.0 (Unix)   mod_ssl / 11.1.1.9.0

Intenta resolver con: 

SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!AES128:!SHA1:!SHA256:!SHA384

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!RC4:!LOW:!MD5:!aNULL:!eNULL:!3DES:!EXP:!PSK:!SRP:!DSS 

SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!AES128:!SHA1:!TLS_RSA_WITH_AES_256_CBC_SHA256:!TLS_RSA_WITH_AES_256_GCM_SHA384

Ninguna de estas configuraciones funcionó para mi configuración SSL en OHS.

¿Alguien ha eliminado esos dos problemas en un cifrado débil?

    
pregunta Ventur 06.11.2018 - 17:17
fuente

2 respuestas

4

Los cifrados son considerados débiles por SSLLabs, ya que utilizan el intercambio de claves RSA que no proporciona ningún secreto hacia adelante. Para deshabilitar el intercambio de claves RSA en sus cifras, agregue !kRSA . En general, solo use el Mozilla SSL Configuration Generator para brindarle una configuración segura.

    
respondido por el Steffen Ullrich 06.11.2018 - 17:24
fuente
2

Si esos cifrados no funcionan mientras RSA lo está, entonces es posible que tenga un certificado incorrecto. Si el uso de clave del certificado solo permite el cifrado (necesario para el establecimiento de claves basado en RSA en los cifrados TLS_RSA_), entonces no funcionará para la autenticación basada en RSA, que requiere la Uso de la clave generación de firma (necesario para la autenticación basada en RSA en los cifrados TLS_DHE_ y TLS_ECDHE).

Es posible que tenga que volver a solicitar un certificado, preferiblemente utilizando un nuevo par de claves; es posible que no desee combinar los usos clave en general, por lo que el uso de la clave está en el certificado en primer lugar.

    
respondido por el Maarten Bodewes 07.11.2018 - 04:55
fuente

Lea otras preguntas en las etiquetas

¿Cómo saber si usuarios no autorizados se han conectado a la wifi de mi casa? Mcrypt: ¿es más segura una clave larga que una clave corta?