Pagina 1 di 1
Aggiornamento configurazione mod_ssl
Inviato: sab ago 16, 2014 3:17 pm
da hashcat
Ho rilasciato una configurazione aggiornata: non c'è alcuna fretta di applicarla subito.
Codice: Seleziona tutto
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-CAMELLIA128-SHA256:ECDHE-ECDSA-CAMELLIA128-SHA256:ECDHE-RSA-CAMELLIA256-SHA384:ECDHE-ECDSA-CAMELLIA256-SHA384:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:CAMELLIA128-SHA:CAMELLIA256-SHA:DHE-RSA-DES-CBC3-SHA:DES-CBC3-SHA
P.S.: Con il (futuro) passaggio a CentOS 7.0, che include una versione più recente di Apache (la 2.4.6), saranno supportati i cifrari a crittografia ellittica che garantiscono la PFS anche su Internet Explorer (raggiungendo il massimo punteggio nel report di Qualys, A+).
Re: Aggiornamento configurazione mod_ssl
Inviato: sab ago 16, 2014 11:28 pm
da Zane
Nuova config caricata e attiva
Re: Aggiornamento configurazione mod_ssl
Inviato: dom gen 04, 2015 12:15 pm
da Zane
Per il discorso specifico relativo a BREACH si prosegue in "Applicare contromisure per attacco BREACH su TurboLab.it".
Re: Aggiornamento configurazione mod_ssl
Inviato: dom gen 04, 2015 7:26 pm
da hashcat
Ho piacevolmente notato che il server è stato aggiornato a CentOS 6.6 (qualche giorno fa): adesso Apache supporta i cifrari a crittografia ellittica (credo per via della nuova versione di OpenSSL disponibile) e ciò comporta un ulteriore decremento nell'occupazione della CPU imputabile all'utilizzo del protocollo TLS.
Re: Aggiornamento configurazione mod_ssl
Inviato: dom gen 04, 2015 7:59 pm
da Zane
Sì, migrare a CentOS 7 è un po' più lunga (anche se stanotte avrei risparmiato 2 ore di lavoro inutile se avessi avuto Apache 2.4!!! ), ma gli upgrade incrementali a CentOS 6.x si installando molto facilmente, quindi tendo a farli sempre quando ho un pochino di tempo.
Ad ogni modo: complimenti a te per aver preparato il cifrario in modo così lungimirante! In effetti ora abbiamo la PFS con tutti i browser principali.
Re: Aggiornamento configurazione mod_ssl
Inviato: mar gen 06, 2015 11:13 am
da hashcat
Zane ha scritto:Ad ogni modo: complimenti a te per aver preparato il cifrario in modo così lungimirante!
In effetti ora abbiamo la PFS con tutti i browser principali.
Grazie.
Re: Aggiornamento configurazione mod_ssl
Inviato: mer apr 06, 2016 10:52 am
da hashcat
Ecco la nuova configurazione:
Codice: Seleziona tutto
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Inoltre, se specificato, sarei curioso di conoscere il valore relativo alla direttiva SSLSessionCache di Apache.
Re: Aggiornamento configurazione mod_ssl
Inviato: ven mag 27, 2016 11:25 pm
da Zane
Cifrario aggiornato come da ultime indicazioni.
SSLSessionCache non era impostata. Ora vale
SSLMutex file:/var/log/httpd/SSLMutex
SSLSessionCache shm:/var/log/httpd/SSLSessionCache(16184)
SSLSessionCacheTimeout 600
Mi lascia però perplesso il fatto che il file in questione (che ho creato manualmente e assegnato a proprietario "apache") non venga mai scritto.. uhmmm...
Re: Aggiornamento configurazione mod_ssl
Inviato: lun giu 06, 2016 4:47 pm
da Zane
Niente, il file /var/log/httpd/SSLSessionCache non viene creato... Ho chiesto lumi su ServerFault, vediamo se arriva qualche suggerimento
Re: Aggiornamento configurazione mod_ssl
Inviato: lun ott 10, 2016 9:36 pm
da hashcat
A seguito di QUESTO attacco consiglio di aggiornare nuovamente la configurazione (identica alla precedente: ho solo rimosso i cifrari 3DES):
Codice: Seleziona tutto
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA
Vorrei precisare che l'attacco non rappresenta un vero problema nello scenario di un sito con traffico moderato quale TurboLab.it (maggiori informazioni QUI) ma quei cifrari sono ormai "richiesti" solo da Internet Explorer su Windows XP.
@Zane Lascio dunque a te il compito di decidere come procedere.
Re: Aggiornamento configurazione mod_ssl
Inviato: lun lug 06, 2020 7:09 pm
da Zane
Contestualmente all'aggiornamento del server siamo passati da Apache a Nginx. La configurazione HTTPS è questa https://github.com/TurboLabIt/webstacku ... nable.conf
Il responso di SSLabs è il solito A+, e ho preferito mettere ssl_prefer_server_ciphers off di modo che sia il browser a guidare la scelta.