Cómo hacer que TLS_RSA_WITH_3DES_EDE_CBC_SHA sea fuerte

1

En primer lugar, no tengo ni idea de qué son las cifras y mi conocimiento es muy básico en materia de seguridad.

Dicho esto, desde este tutorial he establecido un sitio SSL seguro y he ejecutado un prueba en mi dominio y aunque la calificación es A+ pero me di cuenta de que TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) es WEAK no creo que este sea un tema importante, pero como todo es perfecto, se ve bien si lo fortifico cifrado también.

¿Alguien me ayudaría a arreglar este cifrado débil?

    
pregunta user145974 18.04.2017 - 00:26
fuente

1 respuesta

4

Si siguiendo esa guía, utilizó esta línea en su configuración de nginx:

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

Deberías reemplazar esa línea con

ssl_ciphers '-ALL:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES';

luego reinicie nginx e intente la prueba de Qualys nuevamente (haga clic en borrar caché en la página de prueba de Qualys si es necesario). Puede comparar los resultados de las conexiones simuladas por diferentes navegadores y motores de búsqueda para ver que nada cambió, excepto que perdió la capacidad de Internet Explorer en Windows XP para conectarse. Eso no es una pérdida, es completamente inseguro.

En el futuro, cuando actualice Ubuntu 14.04 a un sistema operativo de servidor que viene con una versión de openssl que es compatible con ChaCha20Poly1305, tendrá que ajustar los ssl_ciphers. Esto puede ser tan pronto como se publique Ubuntu 18.04 dentro de un año. Definitivamente, tendrá que ajustarse cuando cambie a los certificados Ed25519, lo que llevará algunos años (los certificados RSA 2048 probablemente se admitirán durante mucho tiempo, y Ed25519 no estará disponible durante al menos un año, pero eventualmente todos lo harán. actualizar).

    
respondido por el Z.T. 18.04.2017 - 03:36
fuente

Lea otras preguntas en las etiquetas