Ubuntu-gr Forum

Έχει κάποιος εμπειρία με SSL & Beast attack;

Συγκεκριμένα, ποια είναι η πιο ασφαλής ρύθμιση του apache για ssl;
Έχω απενεργοποιήσει το TLSv1 και το SSLv2, πρέπει να κάνω και κάτι άλλο;
Επίσης, διάβασα ότι το RC4 δεν είναι ασφαλές πλέον. Αληθεύει;
Μήπως κάποιος ξέρει ποια "cipher suites" να χρησιμοποιήσω στο "SSLCipherSuite";

Κώδικας: Επιλογή όλων



SSLEngine on

#StartSSL configuration
SSLProtocol all -SSLv2 -TLSv1
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

SSLCompression off # disallow for this vhost

SSLCertificateFile /etc/ssl/ssl.crt
SSLCertificateKeyFile /etc/ssl/ssl.key
SSLCertificateChainFile /etc/ssl/sub.class1.server.ca.pem
SSLCACertificateFile /etc/ssl/ca.pem


Το ssl είναι class 1 από το http://www.startssl.com αν έχει σημασία.

Edit:
Φαίνεται πως αυτή η ρύθμιση δουλεύει:

Κώδικας: Επιλογή όλων

SSLEngine on

SSLCompression off # disallow for this vhost
SSLHonorCipherOrder On
SSLProtocol all -SSLv2 -TLSv1
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM

SSLCertificateFile /etc/ssl/ssl.crt
SSLCertificateKeyFile /etc/ssl/ssl.key
SSLCertificateChainFile /etc/ssl/sub.class1.server.ca.pem
SSLCACertificateFile /etc/ssl/ca.pem

Μήπως γνωρίζει κάποιος αν είναι εντάξει αυτή η ρύθμιση; Και αν υποστηρίζεται από τους κοινούς browsers (chrome/ium, IE, mozilla firefox, opera);

Μπορείτε να ελέγξετε το ssl του δικού σας server με το testsslserver.jar: http://www.bolet.org/TestSSLServer/

Κώδικας: Επιλογή όλων

wget http://www.bolet.org/TestSSLServer/TestSSLServer.jar
java -jar TestSSLServer.jar oserversas.gr 443