¿Cómo implementar la solución para el secreto de envío en Debian Apache OpenSSL? [cerrado]

2

El resultado de mi prueba SSL fue un A- debido al secreto de reenvío.

Quiero saber cómo implementar la solución mencionada en esta página aquí: enlace

Específicamente las líneas:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

En mi archivo apache2.conf tengo una línea SSLProtocol y luego debajo de eso puedo colocar la línea SSLCipherSuite , ahí es donde asumo que se supone que deben ir estas líneas de corrección de confidencialidad.

Por ejemplo de esta pregunta aquí:

enlace

Veo su línea SSLCipherSuite como:

ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL

Mirando el documento SSL de Apache, veo el patrón arriba.

Simplemente no sé cómo poner tres líneas, ¿están separadas por comas, o usan tres líneas separadas, o esas líneas van a otra parte?

    
pregunta Jacob David Cunningham 26.06.2016 - 09:12
fuente

1 respuesta

1

Estas NO son líneas:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Estos son cifrados y deben ir dentro de SSLCipherSuite en la forma apropiada.

Implementación :

Primero, asegúrese de que no haya otro SSLCipherSuite (excepto vhosts) que pueda anular la nueva configuración de su conjunto de cifrado. Si hay, coméntalo.

Luego, debajo de la línea comentada o debajo de la línea SSLProtocol , pegue su conjunto de cifrado. Debería buscarse un ejemplo como este:

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:!DSS

Explicación:

  • la primera es la directiva (SSLCipherSuite) para el servidor Apache
  • los cifrados (por ejemplo, DHE-RSA-AES128-SHA256 ) o los grupos de cifrado (por ejemplo, DSS ) están separados por dos puntos ( : )
  • el signo de exclamación después de dos puntos significa que este cifrado o grupo debe omitirse
  • más después de dos puntos significa que este cifrado o grupo debe ir al final

Por cierto, no uses la suite de cifrado que mencionaste en la pregunta. RC4 está obsoleto y está prohibido en TLS desde hace más de un año . (Gracias @Michael Kjörling)

    
respondido por el Vilican 26.06.2016 - 13:13
fuente

Lea otras preguntas en las etiquetas