Наборы шифров средней прочности SSL поддерживаются в Amazon Linux

Question

Я запустил сканирование nessus на сервере Amazon Linux, и он показал результат как «Поддерживаются наборы шифров средней прочности SSL».

Я изменил следующие настройки в /etc/httpd/ssl.conf

SSLProtocol -ALL -TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
SSLProxyProtocol all -SSlv2 -SSLv3
SSLHonorCipherOrder on
#SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH 
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 !EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH-RSA-DES-CBC3-SHA !ECDHE-RSA-DES-CBC3-SHA !DES-CBC3-SHA !ECDHE-RSA-RC4-SHA !RC4-MD5 !RC4-SHA"

Я перезапустил службу httpd и перезапустил сканирование nessus. Вышеуказанное изменение в ssl.cof не сработало. Сканирование снова показало следующие результаты,

• Протокол SSL версий 2 и 3, обнаружение протокола шифра средней прочности

• Поддержка шифров SSL RC4 (Бар-мицва)

Я сомневаюсь, что мне нужно также внести некоторые изменения в конфигурацию openssl. Если да, где и как мне настроить OpenSL ciphersuites?

Я подтвердил, что меняю правильный ssl.conf.

Любая помощь будет принята с благодарностью.

Answer 1

Защита SSL - нелегкая тема, но есть много хороших ресурсов в Интернете. Я предлагаю вам прочитать о том, как укрепить Apache по этой ссылке: https://cipherli.st/

Этот веб-сайт предоставляет вам готовую к использованию безопасную конфигурацию, которая выходит за рамки простого набора шифров, а также предоставляет вам дополнительную информацию об этом, если вам интересно понять.

Для Apache, например, рекомендация:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off

Первая строка - рекомендуемый набор шифров. Они предоставляют описание этой конфигурации на https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html

Не забудьте перезагрузить конфигурацию apache когда закончите!

Answer 2

Пожалуйста, настройте файл ssl.conf, как показано ниже:

SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!3DES

После этого перезапустите службу httpd: service httpd restart

Уязвимость «SSL Cipher Suite Supported» поддерживается в зависимости от вашего TCP-порта.

Если вы видите эту уязвимость на порте tcp / 443, она должна быть устранена после вышеописанной настройки. В противном случае вы можете увидеть его на порте tcp / 4444, который использует openDJ или что-то подобное.

В этом случае удалите 3DES из списка устаревших алгоритмов, расположенных под вашим путем безопасности Java.

• В JDK 8 и более ранних версиях отредактируйте <java-home>/lib/security/java.security файл и удалите 3DES_EDE_CBC из jdk.tls.legacyAlgorithms охранное имущество.
• В JDK 9 отредактируйте файл <java-home>/conf/security/java.security и удалить 3DES_EDE_CBC из jdk.tls.legacyAlgorithms безопасности свойство.