TurboLab.it

Inviato: **sab ago 16, 2014 3:17 pm**

Ho rilasciato una configurazione aggiornata: non c'è alcuna fretta di applicarla subito.

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-CAMELLIA128-SHA256:ECDHE-ECDSA-CAMELLIA128-SHA256:ECDHE-RSA-CAMELLIA256-SHA384:ECDHE-ECDSA-CAMELLIA256-SHA384:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:CAMELLIA128-SHA:CAMELLIA256-SHA:DHE-RSA-DES-CBC3-SHA:DES-CBC3-SHA

P.S.: Con il (futuro) passaggio a CentOS 7.0, che include una versione più recente di Apache (la 2.4.6), saranno supportati i cifrari a crittografia ellittica che garantiscono la PFS anche su Internet Explorer (raggiungendo il massimo punteggio nel report di Qualys, A+).

Inviato: **sab ago 16, 2014 11:28 pm**

Nuova config caricata e attiva

Inviato: **dom gen 04, 2015 12:15 pm**

Per il discorso specifico relativo a BREACH si prosegue in "Applicare contromisure per attacco BREACH su TurboLab.it".

Inviato: **dom gen 04, 2015 7:26 pm**

Ho piacevolmente notato che il server è stato aggiornato a CentOS 6.6 (qualche giorno fa): adesso Apache supporta i cifrari a crittografia ellittica (credo per via della nuova versione di OpenSSL disponibile) e ciò comporta un ulteriore decremento nell'occupazione della CPU imputabile all'utilizzo del protocollo TLS.

Inviato: **dom gen 04, 2015 7:59 pm**

Sì, migrare a CentOS 7 è un po' più lunga (anche se stanotte avrei risparmiato 2 ore di lavoro inutile se avessi avuto Apache 2.4!!!

), ma gli upgrade incrementali a CentOS 6.x si installando molto facilmente, quindi tendo a farli sempre quando ho un pochino di tempo.

Ad ogni modo: complimenti a te per aver preparato il cifrario in modo così lungimirante!

In effetti ora abbiamo la PFS con tutti i browser principali.

Inviato: **mar gen 06, 2015 11:13 am**

Zane ha scritto:Ad ogni modo: complimenti a te per aver preparato il cifrario in modo così lungimirante! In effetti ora abbiamo la PFS con tutti i browser principali.

Grazie.

Inviato: **mer apr 06, 2016 10:52 am**

Ecco la nuova configurazione:

Codice: Seleziona tutto

ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA

Inoltre, se specificato, sarei curioso di conoscere il valore relativo alla direttiva SSLSessionCache di Apache.

Inviato: **ven mag 27, 2016 11:25 pm**

Cifrario aggiornato come da ultime indicazioni.

SSLSessionCache non era impostata. Ora vale

SSLMutex file:/var/log/httpd/SSLMutex
SSLSessionCache shm:/var/log/httpd/SSLSessionCache(16184)
SSLSessionCacheTimeout 600

Mi lascia però perplesso il fatto che il file in questione (che ho creato manualmente e assegnato a proprietario "apache") non venga mai scritto.. uhmmm...

Inviato: **lun giu 06, 2016 4:47 pm**

Niente, il file /var/log/httpd/SSLSessionCache non viene creato... Ho chiesto lumi su ServerFault, vediamo se arriva qualche suggerimento

Inviato: **lun ott 10, 2016 9:36 pm**

A seguito di QUESTO attacco consiglio di aggiornare nuovamente la configurazione (identica alla precedente: ho solo rimosso i cifrari 3DES):

Codice: Seleziona tutto

ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA

Vorrei precisare che l'attacco non rappresenta un vero problema nello scenario di un sito con traffico moderato quale TurboLab.it (maggiori informazioni QUI) ma quei cifrari sono ormai "richiesti" solo da Internet Explorer su Windows XP.

@Zane Lascio dunque a te il compito di decidere come procedere.

Inviato: **lun lug 06, 2020 7:09 pm**

Contestualmente all'aggiornamento del server siamo passati da Apache a Nginx. La configurazione HTTPS è questa https://github.com/TurboLabIt/webstacku ... nable.conf

Il responso di SSLabs è il solito A+, e ho preferito mettere ssl_prefer_server_ciphers off di modo che sia il browser a guidare la scelta.

TurboLab.it

Aggiornamento configurazione mod_ssl

Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl

Re: Aggiornamento configurazione mod_ssl