RHEL 4 üzerinde çalışan Apache 2.0'daki BEAST güvenlik açığını düzeltme

RHEL4'te Apache 2.0 çalıştıran bir web sunucum var. Bu sunucu yakın zamanda bir PCI taramasında başarısız oldu.

Sebep: SSLv3.0 / TLSv1.0 Protokolünde Zayıf CBC Modu Güvenlik Açığı Çözümü: Bu saldırı, 2004 yılında ve bunun için bir düzeltme içeren TLS protokolünün revizyonlarında tanımlanmıştır. Mümkünse TLSv1.1 veya TLSv1.2'ye yükseltin. TLSv1.1 veya TLSv1.2'ye yükseltme mümkün değilse, CBC modu şifrelemelerini devre dışı bırakmak güvenlik açığını giderir. Apache'de aşağıdaki SSL yapılandırmasını kullanmak bu güvenlik açığını azaltır: SSLHonorCipherOrder SSLCipherSuite RC4-SHA'da: HIGH:! ADH

Basit düzeltme, diye düşündüm. Çizgileri Apache yapılandırmasına ekledim ve işe yaramadı. Görünüşe göre
"SSLHonorCipherOrder On" sadece Apache 2.2 ve sonrasında çalışır. Apache'yi yükseltmeyi denedim, yakında bağımlılık cehennemine koştum ve Apache 2.2'ye yükseltmek için tüm işletim sistemini yükseltmem gerekecek gibi görünüyor. Bu sunucuyu birkaç ay içinde emekliye ayırıyoruz, bu yüzden buna değmez.

Çözüm, "TLSv1.1 veya TLSv1.2'ye yükseltme yapılamıyorsa, CBC modu şifrelerini devre dışı bırakmak güvenlik açığını ortadan kaldırır."

Bunu Apache 2.0'da nasıl yapabilirim? Bu mümkün mü? Değilse, başka iş var mı?

Daha yeni bir Apache'yi el ile derlemekten başka, aklıma gelen tek şey RC4-SHA'yı sadece desteklenen bir şifre yapmak ( openssl ciphers RC4-SHAsadece bir şifre bastığından emin olmak için mevcut openssl ile test edilmiştir) yapmaktır. eski openssl'nizdeki bazı tuhaf eski şifreyle eşleşmediğinden emin olmak için):

SSLCipherSuite RC4-SHA

MS, Windows XP'nin TLS_RSA_WITH_RC4_128_SHA'yı desteklediğini, bu nedenle uyumluluk sorunlarının olmaması gerektiğini söylüyor.

BEAST'ı sunucu düzeyinde "düzeltmenin" iki yolu vardır.

En iyi seçenek, sunucunuzun SSL kütüphanesini TLS v1.1 veya üstünü destekleyen bir kütüphaneye yükseltmektir (ve müşterilerinizin de desteklediğinden emin olun, böylece kullanmaya zorlayabilirsiniz).

Diğer seçenek, herhangi bir CBC (Cypher-Block-Chaining) şifreleme algoritmasını devre dışı bırakmak ve en ECB (Elektronik Kod Kitabı) şifrelerine veya RC4 gibi bir şeye geçmek (ECB algoritmaları teorik olarak "daha az güvenlidir" çünkü belirli bir düz metin girişi anahtarı her zaman aynı düz metinle eşleşir ve bu da bilinen düz metin saldırılarından kurtulmayı kolaylaştırır, ancak pratikte bunun büyük bir sorun olması muhtemel değildir. Google (örnek olarak) hala RC4 kullanıyor.

Çalıştırdığınız sunucu öldüğü, gömüldüğü ve ayrıştırılması muhtemelen yamalı bir Apache oluşturmak için gereken çabaya değmeyecektir (Apache ve OpenSSL'yi tek başına yeniden inşa etmeniz gerekmeyecek şekilde, varsayılan olarak sisteminizde yüklü OpenSSL sürümünü gerektirir - Bu kadar çok iş yapıyorsanız, tüm sistemi gerçekte desteklenen bir şeye yükseltebilirsiniz), böylece sizi "ECB Cyphers'a geçin" uygulanabilir çözümünüz.

BEAST gerçekten bugünlerde bir saldırı şey-burger - Tüm popüler tarayıcılar (IE, Chrome, Safari, Opera) etkili bir çözüm uygulamış ve yüzünden saldırı çalışma yöntemiyle bir tarayıcıya dışında uygulamak oldukça zordur (bu yüzden aptve yumhala oldukça güvenlidir).

Google'dan Adam Langley, bu yılın başlarında mükemmel bir konuşma yaptı; bu , re: SSL ve güvenlik üzerine konsantre olmanız gereken bazı ağrı noktalarını özetliyor - BEAST bir söz alırken, endişelenilecek şeyler listesinin en altına yakındı.

Ssllabs.com testini geçmenizi sağlayacak bulduğum tek çözüm, apache httpd.conf ve ssl.conf dosyalarınıza aşağıdaki dört satırı eklemektir:

SSLHonorCipherOrder Açık

SSLProtocol -all + TLSv1 + SSLv3

SSLCipherSuite RC4-SHA: YÜKSEK:! MD5:! ANULL:! EDH:! ADH

SSLInsecure Yeniden müzakere kapalı

Bu ayarlardan hiçbirinin ssl.conf dosyasında iki kez yayınlanmadığından emin olun.

Şimdi sitelerim A ile geçiyor.