Pagina 1 di 1

[Sicurezza] Logjam, nuovo attacco alla sicurezza di HTTPS

Inviato: mer mag 20, 2015 6:48 pm
da gianpietro
Scoperta una nuova vulnerabilità nel protocollo HTTPS, per maggiori informazioni vedi qui:

http://www.ilsoftware.it/articoli.asp?t ... TTPS_12252

Re: [Sicurezza] Logjam, nuovo attacco alla sicurezza di HTTPS

Inviato: gio mag 21, 2015 11:27 pm
da hashcat
Fortunatamente (anche per merito nostro) non risentiamo in maniera critica della vulnerabilità:
  1. Il server Apache è configurato per utilizzare solo i cifrari che offrono un livello di sicurezza adeguato
  2. Vengono preferiti i cifrari a chiave ellittica (è privilegiato lo scambio ECDH(E) rispetto al DH(E) classico)
  3. Il modulo p della chiave DH ha una dimensione pari a 2048 bit
@Zane
Per metterci completamente al riparo dal Logjam basta fare quanto segue:

Codice: Seleziona tutto

openssl dhparam -out dhparams.pem 2048

cat /path/to/custom/dhparam >> /path/to/sslcertfile
E riavviare Apache.

;)

P.S.: @Zane Puoi trovare maggiori informazioni a riguardo QUI (ciò che rimane da fare è applicare quanto riportato al punto 3 del secondo link) e QUI (punto 3).

Re: [Sicurezza] Logjam, nuovo attacco alla sicurezza di HTTPS

Inviato: sab mag 23, 2015 9:35 am
da Zane
haschat: mi stava per sfuggire!! fai bug per favore.

Re: [Sicurezza] Logjam, nuovo attacco alla sicurezza di HTTPS

Inviato: sab mag 23, 2015 3:05 pm
da hashcat
Zane ha scritto:haschat: mi stava per sfuggire!! fai bug per favore.
Fatto!

Bug #173

P.S.: Ho spostato l'argomento nella sezione idonea.

;)