Básicamente de acuerdo pero agregando varios puntos:
Las suites de cifrado están en el código OpenSSL (técnicamente, la biblioteca no es el ejecutable). OpenSSL apropiado ya
implementa casi todas las suites estándar, así que no hay nada útil que agregar.
Sin embargo, RedHat y AIUI también ofrecen paquetes CentOS hasta aproximadamente el final de 2013 excluidos de la compilación todos
Características de la curva elíptica (ECC): esto eliminó los certificados ECDSA (no se usa mucho, al menos todavía);
Intercambios de claves ECDH (estática) y AECDH (anón) que prácticamente nadie usaba;
y el intercambio de claves (efímero) ECDHE, que se utiliza cada vez más y es altamente deseable: proporciona secreto hacia adelante
como DHE pero de manera más eficiente, y para un navegador importante (IE) disponible de manera más consistente.
Por lo tanto, la actualización a un paquete OpenSSL más reciente puede ayudar. O vaya a la versión anterior enlace y cámbielo usted mismo, pero eso es bastante más trabajo.
@Rook
La página sslshopper es bastante antigua y ya no es precisa. Para deshabilitar SSLv2 (bueno) usa un método que también deshabilita
TLSv1.1 y 1.2 (muy malo; 1.1 especialmente es una defensa mucho más específica para BESTIA que RC4). Correctamente excluye
ADH, pero no excluye AECDH (preferiblemente a través de aNULL). Y sin explicación ni antecedentes,
desalienta a los usuarios a descubrir estos errores. Recomiendo en su lugar
enlace et al
y / o enlace .
Si su servidor es público (y el cumplimiento de PCI es un problema principalmente para servidores que son públicos)
enlace (Qualys) ofrece una prueba más amplia y actualizada que incluye algunas explicaciones.