Centos 6.8을 실행하는 테스트 서버가 있는데 SSL Labs 테스트를 실행할 때 이 메시지를 지나칠 수 없습니다.https://www.ssllabs.com/ssltest/analyze.html?d=biduno.com&latest
해당 서버는 OpenSSL Padding Oracle 취약점(CVE-2016-2107)에 취약하며 안전하지 않습니다. 성적은 F로 설정됩니다. 저는 이것이 open openssl과 관련이 있다고 생각합니다. 저는 2016년 11월 10일부터 OpenSSL 1.1.0c 최신 버전을 사용하고 있습니다.
내 비밀번호와 관련이 있나요?
SSLProtocol ALL -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:AES256-SHA256:!RC4:높음:중간:+TLSv1:+TLSv1.1:+TLSv1.2:!MD5:!ADH:! aNULL:!eNULL:!NULL:!DH:!ADH:!EDH:!AESGCM SSLHonorCipherOrder on
답변1
글쎄, 당신의 취향에 맞게 프로토콜, 비밀번호 및 기타 설정을 조정해야 합니다. 또한 프로토콜과 암호 제품군을 혼합하고 있는데 이는 아마도 좋지 않을 것입니다.
기본 SSL/TLS 구성입니다.www.cryptopp.com, 제가 돕고 있는 오픈 소스 프로젝트입니다. CentOS 7 VM에서 실행되며 Qualsys 테스트에서 "A"를 얻습니다. 우리 중 누구도 Apache 전문가가 아니므로 구성을 있는 그대로 받아들이시기 바랍니다. 우리는 사용자가 문제를 겪지 않도록 충분히 노력하지만 그게 전부입니다.
일반적으로 "TLS 1.0 이상"( SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
) 및 "최신 암호 제품군"( ) SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4
과 같은 것을 원합니다. 이는 !kRSA
"RSA 키 전송 없음"을 의미하며, 이는 Diffie-Hellman 및 순방향 보안을 효과적으로 유지합니다.
이 구성은 STS 헤더( Strict-Transport-Security
)도 설정합니다.
# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https
SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog
SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost *:443>
SSLEngine on
DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com
ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4
SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem
SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem
SSLVerifyClient none
Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"
</VirtualHost>
너도 그럴 것 같아아니요OpenSSL 1.1.0을 사용합니다. 대신 이전 버전의 FIPS를 사용하고 있을 수 있습니다. 다음은 동일한 CetOS 7 VM에서 가져온 것입니다.
$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
관리자는 패치를 백포트하므로 여러분이 아는 것은 (1) 1.0.1e쯤에서 시작했고, (2) 현재 가지고 있는 것이 무엇인지 실제로 알지 못하고, (3) Frekenstein과 같은 설치가 이미 이루어지고 있다는 것입니다. 함께.