comment activer TLS FALLBACK SCSV sur apache

Il ne devrait pas être nécessaire de faire les deux; TLS_FALLBACK_SCSV est un mécanisme visant à empêcher la rétrogradation des attaques, mais si votre serveur ne permet pas de SSLv3 (ou v2) connexions qu'il n'est pas nécessaire (comme ceux déclassé connexions ne fonctionnerait pas)

Modifier (pour tenir compte des commentaires): Techniquement TLS_FALLBACK_SCSV est toujours utile avec SSL désactivé, car il permet d'éviter que la connexion soit déclassée en TLS < 1.2. Mais ceci n'est pas nécessaire pour se défendre contre caniche, puisque le SSLv3 vulnérable est hors.

la seule raison pour laquelle TLS_FALLBACK_SCSV est utile contre POODLE est si vous avez besoin de prendre en charge les clients SSLv3 (vraiment de vieilles versions IE ou quelque chose comme ça). Ces clients seront toujours vulnérables à l'attaque, mais les clients modernes qui soutiennent cette option seraient en sécurité contre l'attaque de déclassement.

d'après ce que j'ai compris, ce n'est pas une configuration dans Apache mais un comportement d'openssl.

OpenSSL a ajouté le support pour TLS_FALLBACK_SCSV pour autoriser les applications pour bloquer la capacité d'un attaquant MITM de forcer un protocole déclasser.

https://www.openssl.org/news/secadv_20141015.txt

sur Debian, vous pouvez mettre à niveau openssl sans mettre à niveau libssl, vous voulez vraiment que libssl soit mis à niveau. Apache utilise libssl.

mise à niveau vers le dernier paquet OpenSSL qui implémente TLS_FALLBACK_SCSV. Puis, dans votre configuration Apache, désactivez SSLv3.

SSLProtocol all -SSLv2  -SSLv3

Cette réponse sur le " askubuntu pile de site va dans beaucoup plus de détails et réponses pour savoir comment configurer un tas de serveurs différents pour cela.

https://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566

je peux confirmer Qu'il n'est pas nécessaire de changer rien sur Apache (au moins pour Ubuntu 14.04) J'ai redémarré Apache après la mise à jour d'openssl et TLS_FALLBACK_SCSV fonctionne.

mettez la ligne suivante dans votre fichier de configuration, ou remplacez toute ligne existante en commençant par SSLProtocol: SSLProtocol All -SSLv2 -SSLv3

puis exécuter:$ sudo apache2ctl configtest && sudo service apache2 restart

Vous pouvez test exécuter la commande $ openssl s_client -connect <host>:<port> -ssl3

TLS_EMPTY_RENEGOTIATION_INFO_SCSV est le mot magique. Pour plus de détails, reportez-vous à http://www.exploresecurity.com, c'est ce qu'il dit:

TLS_FALLBACK_SCSV est une fausse suite de chiffrement annoncée dans le Client Bonjour, qui commence la poignée de main SSL/TLS. SCSV signifie "signalisation" De La Suite De Chiffrement De La Valeur". L'idée d'utiliser une suite de chiffrement comme un signal est pas nouveau: TLS_EMPTY_RENEGOTIATION_INFO_SCSV est un moyen que les clients peuvent faire de la publicité qu'ils soutiennent renégociation sécurisée (traitement CVE-2009-3555)

donc, finalement, pour un projet de démarrage avec un serveur Apache intégré, la configuration montrerait quelque chose comme ceci:

server.ssl.enabled-protocols=TLSvx,TLSvx.y....
server.ssl.protocol=TLS
server.ssl.ciphers=TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_............TLS_EMPTY_RENAGOTIATION_INFO_SCSV 
server.server-header="Willi Wonka!"

PS - pour voir toutes les configurations / propriétés de la botte de printemps, visitez ceci:https://docs.spring.io