Aggiornamento configurazione mod_ssl

Ti piacciono il sito e la community? Questo è il posto giusto per lasciare commenti, suggerimenti e... critiche.
Regole del forum
Rispondi
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Aggiornamento configurazione mod_ssl

Messaggio da hashcat »

Ho rilasciato una configurazione aggiornata: non c'è alcuna fretta di applicarla subito.

Codice: Seleziona tutto

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-CAMELLIA128-SHA256:ECDHE-ECDSA-CAMELLIA128-SHA256:ECDHE-RSA-CAMELLIA256-SHA384:ECDHE-ECDSA-CAMELLIA256-SHA384:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:CAMELLIA128-SHA:CAMELLIA256-SHA:DHE-RSA-DES-CBC3-SHA:DES-CBC3-SHA
P.S.: Con il (futuro) passaggio a CentOS 7.0, che include una versione più recente di Apache (la 2.4.6), saranno supportati i cifrari a crittografia ellittica che garantiscono la PFS anche su Internet Explorer (raggiungendo il massimo punteggio nel report di Qualys, A+).

;)
“The quieter you become, the more you can hear”
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Aggiornamento configurazione mod_ssl

Messaggio da System » sab ago 16, 2014 3:17 pm


Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Aggiornamento configurazione mod_ssl

Messaggio da Zane »

Nuova config caricata e attiva :)
Zane - TurboLab.it
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Aggiornamento configurazione mod_ssl

Messaggio da Zane »

Per il discorso specifico relativo a BREACH si prosegue in "Applicare contromisure per attacco BREACH su TurboLab.it".
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Aggiornamento configurazione mod_ssl

Messaggio da hashcat »

Ho piacevolmente notato che il server è stato aggiornato a CentOS 6.6 (qualche giorno fa): adesso Apache supporta i cifrari a crittografia ellittica (credo per via della nuova versione di OpenSSL disponibile) e ciò comporta un ulteriore decremento nell'occupazione della CPU imputabile all'utilizzo del protocollo TLS.

;)
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Aggiornamento configurazione mod_ssl

Messaggio da Zane »

Sì, migrare a CentOS 7 è un po' più lunga (anche se stanotte avrei risparmiato 2 ore di lavoro inutile se avessi avuto Apache 2.4!!! :muro ), ma gli upgrade incrementali a CentOS 6.x si installando molto facilmente, quindi tendo a farli sempre quando ho un pochino di tempo.

Ad ogni modo: complimenti a te per aver preparato il cifrario in modo così lungimirante! :clap In effetti ora abbiamo la PFS con tutti i browser principali. :)
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Aggiornamento configurazione mod_ssl

Messaggio da hashcat »

Zane ha scritto:Ad ogni modo: complimenti a te per aver preparato il cifrario in modo così lungimirante! :clap In effetti ora abbiamo la PFS con tutti i browser principali. :)
Grazie.

:)
“The quieter you become, the more you can hear”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Aggiornamento configurazione mod_ssl

Messaggio da hashcat »

Ecco la nuova configurazione:

Codice: Seleziona tutto

ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Inoltre, se specificato, sarei curioso di conoscere il valore relativo alla direttiva SSLSessionCache di Apache.

:ciao
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Aggiornamento configurazione mod_ssl

Messaggio da Zane »

Cifrario aggiornato come da ultime indicazioni.

SSLSessionCache non era impostata. Ora vale


SSLMutex file:/var/log/httpd/SSLMutex
SSLSessionCache shm:/var/log/httpd/SSLSessionCache(16184)
SSLSessionCacheTimeout 600


Mi lascia però perplesso il fatto che il file in questione (che ho creato manualmente e assegnato a proprietario "apache") non venga mai scritto.. uhmmm...
Zane - TurboLab.it
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Aggiornamento configurazione mod_ssl

Messaggio da Zane »

Niente, il file /var/log/httpd/SSLSessionCache non viene creato... Ho chiesto lumi su ServerFault, vediamo se arriva qualche suggerimento
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Aggiornamento configurazione mod_ssl

Messaggio da hashcat »

A seguito di QUESTO attacco consiglio di aggiornare nuovamente la configurazione (identica alla precedente: ho solo rimosso i cifrari 3DES):

Codice: Seleziona tutto

ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA
Vorrei precisare che l'attacco non rappresenta un vero problema nello scenario di un sito con traffico moderato quale TurboLab.it (maggiori informazioni QUI) ma quei cifrari sono ormai "richiesti" solo da Internet Explorer su Windows XP.

@Zane Lascio dunque a te il compito di decidere come procedere.

:ciao
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Aggiornamento configurazione mod_ssl

Messaggio da Zane »

Contestualmente all'aggiornamento del server siamo passati da Apache a Nginx. La configurazione HTTPS è questa https://github.com/TurboLabIt/webstacku ... nable.conf

Il responso di SSLabs è il solito A+, e ho preferito mettere ssl_prefer_server_ciphers off di modo che sia il browser a guidare la scelta.
Zane - TurboLab.it
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Aggiornamento configurazione mod_ssl

Messaggio da System » lun lug 06, 2020 7:09 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio