Во время сканирования PCI наши веб-серверы ubuntu16 с apache и nginx отмечены как провальные против атак Дня Рождения на шифры TLS с 64-битной уязвимостью размера блока (Sweet32).
УГРОЗА: Устаревшие блочные шифры, имеющие размер блока 64 бита, уязвимы для практической атаки на столкновение при использовании в режиме CB C. Все версии протокола SSL / TLS поддерживают наборы шифров, которые используют DES, 3DES, IDEA или RC2 в качестве симметричного шифра c.
Ниже приведены данные, указанные в скане. Кто-нибудь смог применить исправление для того же самого в Ubuntu16?
IMPACT:
Remote attackers can obtain cleartext data via a birthday attack against a long-duration encrypted session.
SOLUTION:
Disable and stop using DES, 3DES, IDEA or RC2 ciphers.
More information can be found at Microsoft Windows TLS changes docs and Microsoft Transport Layer Security (TLS) registry settings
RESULT:
CIPHER
KEY-EXCHANGE AUTHENTICATION MAC ENCRYPTION(KEY-STRENGTH) GRADE
TLSv1.2 WITH 64-BIT CBC CIPHERS IS
SUPPORTED
DES-CBC3-SHA RSA RSA SHA1 3DES(168) MEDIUM
EDH-RSA-DES-CBC3-SHA DH RSA SHA1 3DES(168) MEDIUM
ECDHE-RSA-DES-CBC3-SHA ECDH RSA SHA1 3DES(168) MEDIUM