我们在Ubuntu 12.04和Apache 2.2.2版本。 我们在我们的网站上进行了PCI扫描,出现了两个漏洞,我们无法控制。 首先是BEAST攻击和其他一个SSL RC4密码套件的支持。
到目前为止,我已经尝试以下看起来很有前景 在寻求帮助之后,我尝试了更多更改,但是这些更改反过来开始破坏浏览器并被丢弃。
SSLProtocol -SSLv2 -TLSv1 +SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:!MD5:!aNULL:!EDH SSLCompression off 要么
SSLProtocol ALL -SSLv2 SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS SSLCompression off
基于ssllabs上的扫描结果,我能够得到只有一个减轻的漏洞。 我需要做哪些修改,以解决这两个漏洞,并支持当前版本的浏览器?
那么BEAST的缓解(除了专门使用TLS 1.1 / 1.2,你的服务器目前无法做到)就是使用RC4。
所以,configuration服务器可能不会被标记为易受攻击的。 如果您绝对必须摆脱这些漏洞,您可能需要将OS软件包的OpenSSL安装replace为较新版本的第三方软件包,或者从源代码编译。
如今,BEAST攻击通常会通过1 / n-1的logging分割来减轻,因为RC4被认为太弱而无法使用。 检查您的发行版的安全build议,以获得实施1 / n-1logging拆分的更新的OpenSSL,解决CVE-2011-3389。 (请注意, Ubuntu似乎已经有了 。)
当然,使用能够使用TLS 1.2的服务器是首选解决scheme。