OpenSSLは、最新のopenssl 1.1.0cを使用してOracleの脆弱性を補完します。

OpenSSLは、最新のopenssl 1.1.0cを使用してOracleの脆弱性を補完します。

Centos 6.8を実行しているテストサーバーがあり、SSL Labsテストを実行するとこのメッセージを通過できません。https://www.ssllabs.com/ssltest/analyze.html?d=biduno.com&latest

そのサーバーはOpenSSL Padding Oracleの脆弱性(CVE-2016-2107)に脆弱であり、安全ではありません。成績はFに設定されます。私はこれがopen opensslに関連していると思います。私は2016年11月10日からOpenSSL 1.1.0cの最新バージョンを使用しています。

私のパスワードに関連していますか?

SSLProtocol ALL -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:AES256-SHA256:!RC4:高:中:+TLSv1:+TLSv1.1:+TLSv1. aNULL:!eNULL:!NULL:!DH:!ADH:!EDH:!AESGCM SSLHonorCipherOrder on

答え1

まあ、あなたの好みに合わせてプロトコル、パスワード、その他の設定を調整する必要があります。また、プロトコルと暗号スイートを混在していますが、これはおそらく悪いでしょう。

デフォルトのSSL / TLS構成。www.cryptopp.com、私が助けているオープンソースプロジェクトです。 CentOS 7 VMで動作し、Qualsysテストで「A」を取得します。私たちの誰もApacheの専門家ではないので、構成をそのまま受け入れてください。私たちは、ユーザーが問題を経験しないように十分に努力していますが、それはすべてです。

一般的には、「TLS 1.0以降」(SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2)や「最新暗号スイート」( )などがSSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4必要です。これは!kRSA「RSA 鍵の送信なし」を意味し、これは Diffie-Hellman と順方向セキュリティを効果的に維持します。

この構成はSTSヘッダー(Strict-Transport-Security)も設定します。

# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https

SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog

SSLSessionCache         shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout  300

SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin

SSLCryptoDevice builtin

<VirtualHost *:443>
SSLEngine on

DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com

ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4

SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem

SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLVerifyClient none

Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"

</VirtualHost>

あなたもそうだと思います。いいえOpenSSL 1.1.0を使用してください。代わりに、以前のバージョンのFIPSを使用している可能性があります。以下は、同じCetOS 7 VMからのものです。

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

管理者はパッチをバックポートするので、あなたが知っているのは(1)1.0.1e頃から始まり、(2)現在持っているものが実際にはわからず、(3)Frekensteinのようなインストールがすでに行われているということです。一緒に。

関連情報