Centos 6.8を実行しているテストサーバーがあり、SSL Labsテストを実行するとこのメッセージを通過できません。https://www.ssllabs.com/ssltest/analyze.html?d=biduno.com&latest
そのサーバーはOpenSSL Padding Oracleの脆弱性(CVE-2016-2107)に脆弱であり、安全ではありません。成績はFに設定されます。私はこれがopen opensslに関連していると思います。私は2016年11月10日からOpenSSL 1.1.0cの最新バージョンを使用しています。
私のパスワードに関連していますか?
SSLProtocol ALL -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:AES256-SHA256:!RC4:高:中:+TLSv1:+TLSv1.1:+TLSv1. aNULL:!eNULL:!NULL:!DH:!ADH:!EDH:!AESGCM SSLHonorCipherOrder on
答え1
まあ、あなたの好みに合わせてプロトコル、パスワード、その他の設定を調整する必要があります。また、プロトコルと暗号スイートを混在していますが、これはおそらく悪いでしょう。
デフォルトのSSL / TLS構成。www.cryptopp.com、私が助けているオープンソースプロジェクトです。 CentOS 7 VMで動作し、Qualsysテストで「A」を取得します。私たちの誰もApacheの専門家ではないので、構成をそのまま受け入れてください。私たちは、ユーザーが問題を経験しないように十分に努力していますが、それはすべてです。
一般的には、「TLS 1.0以降」(SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
)や「最新暗号スイート」( )などがSSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4
必要です。これは!kRSA
「RSA 鍵の送信なし」を意味し、これは Diffie-Hellman と順方向セキュリティを効果的に維持します。
この構成はSTSヘッダー(Strict-Transport-Security
)も設定します。
# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https
SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog
SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost *:443>
SSLEngine on
DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com
ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4
SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem
SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLVerifyClient none
Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"
</VirtualHost>
あなたもそうだと思います。いいえOpenSSL 1.1.0を使用してください。代わりに、以前のバージョンのFIPSを使用している可能性があります。以下は、同じCetOS 7 VMからのものです。
$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
管理者はパッチをバックポートするので、あなたが知っているのは(1)1.0.1e頃から始まり、(2)現在持っているものが実際にはわからず、(3)Frekensteinのようなインストールがすでに行われているということです。一緒に。