comment activer TLS FALLBACK SCSV sur apache
j'ai lu sur différents forums concernant POODLE
une vulnérabilité dans SSLv3
. Il est recommandé de désactiver SSLv3
et de soutien TLS_FALLBACK_SCSV
sur les serveurs.
Comment activer le support de TLS_FALLBACK_SCSV
<!--5?
7 réponses
Mise à niveau vers la dernière version d'openssl, qui supporte automatiquement TLS-FALLBACK-SCSV. Apache va s'en servir.
https://www.openssl.org/news/secadv_20141015.txt :
OpenSSL 1.0.1 users should upgrade to 1.0.1j.
OpenSSL 1.0.0 users should upgrade to 1.0.0o.
OpenSSL 0.9.8 users should upgrade to 0.9.8zc.
Debian et d'autres Distributions déploient les rétroportages de la mise à jour TLS-FALLBACK-SCSV sur OpenSSL.
redémarrez Apache après la mise à jour.
Vérifier votre serveur
SSL Labs va vérifier si vous soutien TLS_FALLBACK_SCSV
.
remarquez comment https://www.ssllabs.com/ssltest/analyze.html?d=google.com&s=74.125.239.96&hideResults=on notes "TLS_FALLBACK_SCSV supported"
Il ne devrait pas être nécessaire de faire les deux; TLS_FALLBACK_SCSV est un mécanisme visant à empêcher la rétrogradation des attaques, mais si votre serveur ne permet pas de SSLv3 (ou v2) connexions qu'il n'est pas nécessaire (comme ceux déclassé connexions ne fonctionnerait pas)
Modifier (pour tenir compte des commentaires): Techniquement TLS_FALLBACK_SCSV est toujours utile avec SSL désactivé, car il permet d'éviter que la connexion soit déclassée en TLS < 1.2. Mais ceci n'est pas nécessaire pour se défendre contre caniche, puisque le SSLv3 vulnérable est hors.
la seule raison pour laquelle TLS_FALLBACK_SCSV est utile contre POODLE est si vous avez besoin de prendre en charge les clients SSLv3 (vraiment de vieilles versions IE ou quelque chose comme ça). Ces clients seront toujours vulnérables à l'attaque, mais les clients modernes qui soutiennent cette option seraient en sécurité contre l'attaque de déclassement.
d'après ce que j'ai compris, ce n'est pas une configuration dans Apache mais un comportement d'openssl.
OpenSSL a ajouté le support pour TLS_FALLBACK_SCSV pour autoriser les applications pour bloquer la capacité d'un attaquant MITM de forcer un protocole déclasser.
https://www.openssl.org/news/secadv_20141015.txt
sur Debian, vous pouvez mettre à niveau openssl sans mettre à niveau libssl, vous voulez vraiment que libssl soit mis à niveau. Apache utilise libssl.
mise à niveau vers le dernier paquet OpenSSL qui implémente TLS_FALLBACK_SCSV. Puis, dans votre configuration Apache, désactivez SSLv3.
SSLProtocol all -SSLv2 -SSLv3
Cette réponse sur le " askubuntu pile de site va dans beaucoup plus de détails et réponses pour savoir comment configurer un tas de serveurs différents pour cela.
je peux confirmer Qu'il n'est pas nécessaire de changer rien sur Apache (au moins pour Ubuntu 14.04) J'ai redémarré Apache après la mise à jour d'openssl et TLS_FALLBACK_SCSV
fonctionne.
mettez la ligne suivante dans votre fichier de configuration, ou remplacez toute ligne existante en commençant par SSLProtocol:
SSLProtocol All -SSLv2 -SSLv3
puis exécuter:$ sudo apache2ctl configtest && sudo service apache2 restart
Vous pouvez test exécuter la commande $ openssl s_client -connect <host>:<port> -ssl3
TLS_EMPTY_RENEGOTIATION_INFO_SCSV est le mot magique. Pour plus de détails, reportez-vous à http://www.exploresecurity.com, c'est ce qu'il dit:
TLS_FALLBACK_SCSV est une fausse suite de chiffrement annoncée dans le Client Bonjour, qui commence la poignée de main SSL/TLS. SCSV signifie "signalisation" De La Suite De Chiffrement De La Valeur". L'idée d'utiliser une suite de chiffrement comme un signal est pas nouveau: TLS_EMPTY_RENEGOTIATION_INFO_SCSV est un moyen que les clients peuvent faire de la publicité qu'ils soutiennent renégociation sécurisée (traitement CVE-2009-3555)
donc, finalement, pour un projet de démarrage avec un serveur Apache intégré, la configuration montrerait quelque chose comme ceci:
server.ssl.enabled-protocols=TLSvx,TLSvx.y....
server.ssl.protocol=TLS
server.ssl.ciphers=TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_............TLS_EMPTY_RENAGOTIATION_INFO_SCSV
server.server-header="Willi Wonka!"
PS - pour voir toutes les configurations / propriétés de la botte de printemps, visitez ceci:https://docs.spring.io