Отключение слабых протоколов и шифров в Centos с помощью Apache
Может ли кто-нибудь помочь мне определить, что может быть причиной того, что я все еще получаю пробелы VA от сканера в следующих случаях? На моем сервере размещено несколько веб-приложений, но я использую одни и те же настройки для всех виртуальных хостов.
20007 - Обнаружение протокола SSL версии 2 и 3
ПРИМЕЧАНИЕ. SSLEngine и SSLHonorCipherOrder включены.
Это для протоколы. Все отключено, и включены только версии TLS 1.1 и 1.2, однако сканер по-прежнему обнаруживает SSL v3
SSLProtocol -All + TLSv1.1 + TLSv1.2
Я также пробовал этот способ: openssl s_client -connect localhost: 443 -ssl2 -> подтверждение отказа (что нормально) openssl s_client -connect localhost: 443 -ssl3 -> это работает, и не знаю, почему, потому что это было отключено для всех vHosts (настройки такие же, как и выше)
===== ===== =====
Две другие уязвимости:
42873 - Поддерживаемые наборы шифров SSL средней надежности Вот список SSL-шифров средней надежности, поддерживаемых удаленным сервером: EDH-RSA-DES-CBC3-SHA Kx = DH Au = RSA Enc = 3DES-CBC (168) Mac = SHA1 ECDHE-RSA-DES-CBC3-SHA Kx = ECDH Au = RSA Enc = 3DES-CBC (168) Mac = SHA1 DES-CBC3-SHA Kx = RSA Au = RSA Enc = 3DES-CBC (168) Mac = SHA1
65821 - Поддерживаются наборы шифров SSL RC4 (бар-мицва) Список комплектов шифров RC4, поддерживаемых удаленным сервером: ECDHE-RSA-RC4-SHA Kx = ECDH Au = RSA Enc = RC4 (128) Mac = SHA1 RC4-MD5 Kx = RSA Au = RSA Enc = RC4 (128) Mac = MD5 RC4-SHA Kx = RSA Au = RSA Enc = RC4 (128) Mac = SHA1
Это CipherSuite. Я выделил жирным шрифтом все шифры, найденные в сканере, и все они были отключены в моей конфигурации, однако они все еще отображаются во время сканирования:
SSLCipherSuite "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256! EECDH + aRSA + RC4 EECDH EDH + aRSA! RC4! ANULL! ENULL! LOW! 3DES! MD5! EXP! PSK! SRP109! DSS! [ -RSA-DES-CBC3-SHA ! ECDHE-RSA-DES-CBC3-SHA ! DES-CBC3-SHA ! ECDHE-RSA-RC4-SHA ! RC4-MD5 ! RC4-SHA "
ПРИМЕЧАНИЕ. Журнал изменений для имеющейся у меня версии httpd не включает CVE для упомянутых пробелов согласно проверке. Я также знаю, что httpd необходимо перезапускать после каждого изменения конфигурации.
Сообщите, если у кого-нибудь из вас есть предложения, Возможно, я что-то упускаю. Спасибо.
извиняюсь за проблемы. Мой товарищ по команде обнаружил, что следующие строки также следует обновить в /etc/httpd/conf.d/ssl.conf:
SSLProtocol -all -TLSv1 + TLSv1.1 + TLSv1.2 -SSLv3
SSLCipherSuite "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256! EECDH + aULLRSA + RC4 + ARLNA! MD5! EXP! PSK! SRP! DSS! EDH-RSA-DES-CBC3-SHA! ECDHE-RSA-DES-CBC3-SHA! DES-CBC3-SHA! ECDHE-RSA-RC4-SHA! RC4-MD5! RC4- SHA "
После обновления очищает результат сканирования безопасности.
Обратитесь к документации apache, это правильная документация, которая даст рейтинг A + для сервера apache centos.
https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html
См. Раздел «Как я могу создать сервер SSL, который принимает только надежное шифрование?»
# "Modern" configuration, defined by the Mozilla Foundation's SSL Configuration
# Generator as of August 2016. This tool is available at
# https://mozilla.github.io/server-side-tls/ssl-config-generator/
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
# Many ciphers defined here require a modern version (1.0.1+) of OpenSSL. Some
# require OpenSSL 1.1.0, which as of this writing was in pre-release.
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off