He estado haciendo Network Scan para nuestra caja y Ncircle informó Servidor SSL compatible con cifrados RC4 para SSLv3 . En base a eso, hice una búsqueda y planeo agregar a /etc/apache/conf.d/security
lo siguiente:
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Si entiendo bien, el signo !
es una negación como en un lenguaje de programación, entonces mis reglas deberían ser las siguientes:
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Seguí leyendo el informe y se quejó de soporte para CBC y weak MAC
Busqué y encontré 2 blogs hynek.me y raymii.org . Estoy un poco confundido. ¿Qué directivas recientes abordan mis problemas actuales?
Se necesita un poco de iluminación para que pueda arrancar esto. Gracias
EDIT:
Después de muchos problemas y la lectura. Se me ha ocurrido esto:
ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT
He comprobado con
openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC
openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4
No estoy seguro de si esto es lo suficientemente bueno. Sospecho que algunos navegadores pueden tener problemas de compatibilidad con eso.