OpenSSL은 최신 openssl 1.1.0c를 사용하여 Oracle 취약점을 보완합니다.

글쎄, 당신의 취향에 맞게 프로토콜, 비밀번호 및 기타 설정을 조정해야 합니다. 또한 프로토콜과 암호 제품군을 혼합하고 있는데 이는 아마도 좋지 않을 것입니다.

기본 SSL/TLS 구성입니다.www.cryptopp.com, 제가 ​​돕고 있는 오픈 소스 프로젝트입니다. CentOS 7 VM에서 실행되며 Qualsys 테스트에서 "A"를 얻습니다. 우리 중 누구도 Apache 전문가가 아니므로 구성을 있는 그대로 받아들이시기 바랍니다. 우리는 사용자가 문제를 겪지 않도록 충분히 노력하지만 그게 전부입니다.

일반적으로 "TLS 1.0 이상"( SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2) 및 "최신 암호 제품군"( ) SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4과 같은 것을 원합니다. 이는 !kRSA"RSA 키 전송 없음"을 의미하며, 이는 Diffie-Hellman 및 순방향 보안을 효과적으로 유지합니다.

이 구성은 STS 헤더( Strict-Transport-Security)도 설정합니다.

# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https

SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog

SSLSessionCache         shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout  300

SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin

SSLCryptoDevice builtin

<VirtualHost *:443>
SSLEngine on

DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com

ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4

SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem

SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLVerifyClient none

Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"

</VirtualHost>

---

너도 그럴 것 같아아니요OpenSSL 1.1.0을 사용합니다. 대신 이전 버전의 FIPS를 사용하고 있을 수 있습니다. 다음은 동일한 CetOS 7 VM에서 가져온 것입니다.

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

관리자는 패치를 백포트하므로 여러분이 아는 것은 (1) 1.0.1e쯤에서 시작했고, (2) 현재 가지고 있는 것이 무엇인지 실제로 알지 못하고, (3) Frekenstein과 같은 설치가 이미 이루어지고 있다는 것입니다. 함께.