Cómo deshabilitar el cifrado RC4 en ubuntu 12.04

8

He estado haciendo Network Scan para nuestra caja y Ncircle informó Servidor SSL compatible con cifrados RC4 para SSLv3 . En base a eso, hice una búsqueda y planeo agregar a /etc/apache/conf.d/security lo siguiente:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

Si entiendo bien, el signo ! es una negación como en un lenguaje de programación, entonces mis reglas deberían ser las siguientes:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT   

Seguí leyendo el informe y se quejó de soporte para CBC y weak MAC

Busqué y encontré 2 blogs hynek.me y raymii.org . Estoy un poco confundido. ¿Qué directivas recientes abordan mis problemas actuales?

Se necesita un poco de iluminación para que pueda arrancar esto. Gracias

EDIT:

Después de muchos problemas y la lectura. Se me ha ocurrido esto:

ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT

He comprobado con

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4

No estoy seguro de si esto es lo suficientemente bueno. Sospecho que algunos navegadores pueden tener problemas de compatibilidad con eso.

    
pregunta black sensei 27.09.2014 - 15:31
fuente

1 respuesta

7

Todavía hay algunos cifrados RC4 en tu lista. Para verificar qué cifrados ofrece el servidor, ingrese su lista en 'openssl ciphers -V', es decir,

  $ openssl ciphers -V 'ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT' | grep RC4
      0xC0,0x11 - ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
      0xC0,0x07 - ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
      0xC0,0x16 - AECDH-RC4-SHA           SSLv3 Kx=ECDH     Au=None Enc=RC4(128)  Mac=SHA1
      0xC0,0x0C - ECDH-RSA-RC4-SHA        SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0xC0,0x02 - ECDH-ECDSA-RC4-SHA      SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0x00,0x8A - PSK-RC4-SHA             SSLv3 Kx=PSK      Au=PSK  Enc=RC4(128)  Mac=SHA1

Una buena fuente para configurar correctamente su servidor es ssllabs.com. Para ver ejemplos de configuraciones de cifrado útiles, consulte enlace .

    
respondido por el Steffen Ullrich 27.09.2014 - 15:43
fuente

Lea otras preguntas en las etiquetas