Tenemos un sistema de producción alojado de forma privada y una máquina AWS que utilizamos para realizar pruebas. Ambos sistemas tienen la misma estructura:
- terminación SSL con haproxy,
- pasar a un servidor Apache que aloja un sitio web de Rails,
- más una carga de servicios auxiliares, etc.
Mis intentos de fortalecer nuestro sistema en haproxy:
ssl-default-bind-options no-sslv3
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-server-options no-sslv3
ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
tune.ssl.default-dh-param 2048
En AWS, nuestro sistema obtuvo un A en la prueba de laboratorios SSL de Qualys (ignorando los problemas de confianza, ya que no pagamos un certificado verificado en nuestro sistema de prueba privado).
En nuestra producción, el sistema obtuvo un F sólido, citando el ( CVE- 2016-2107 ) vulnerabilidad. Aparentemente, la solución es actualizar la versión de openssl (¡actualmente 1.0.1e en ambos sistemas ...!)
Sin embargo, tengo curiosidad por saber por qué esto fue un problema en nuestro servidor privado pero no en AWS. Lo pregunto porque siempre probamos cosas en AWS antes de nuestra máquina de producción para ver si, por ejemplo, una actualización de software rompe cualquier cosa, así que me gustaría estar al tanto de alguna diferencia intrínseca en ese entorno para que no quede atrapado en la versión en vivo ...
Muchas gracias de antemano.