Отключить слабые шифры SSL в lighttpd

5864
arantius

Инструмент тестирования https://www.ssllabs.com/ssltest/index.html сообщает мне, что мой сервер предлагает / поддерживает:

SSL_RSA_WITH_DES_CBC_SHA (0x9) WEAK 56
SSL_DHE_RSA_WITH_DES_CBC_SHA (0x15) DH 1024 бита (p: 128, g: 128, Ys: 128) FS WEAK 56
RC4 Да НЕ НУЖНО

По крайней мере, эти два слабых шифра. Я хотел бы поддержать только сильные шифры. Я пытался указать

ssl.cipher-list = "HIGH:MEDIUM:!ADH"

Но это не помогло. Как мне сказать lighthttpd не использовать слабые шифры для SSL?

Если я могу также обратиться к «Прямой секретности (экспериментальной) нет НЕ ЖЕЛАТЕЛЬНОЙ» в то же время, отлично.

2

2 ответа на вопрос

4
Andy

Наконец, вот окончательный «секретный соус»:

Пройдите тест SSL Labs на Lighttpd (смягчите атаки CRIME и BEAST, отключите SSLv2 и включите Perfect Forward Secrecy).

Пожалуйста, прочитайте ссылку для конкретных директив конфигурации.

Добро пожаловать в SuperUser! Не могли бы вы добавить соответствующие подробности из ссылки на ваш пост? Это помогает сайту избежать «гниения ссылок» в долгосрочной перспективе: http://superuser.com/questions/how-to-answer Excellll 10 лет назад 1
Из приведенного выше поста: `ssl.cipher-list =" AES256 + EECDH: AES256 + EDH:! ANULL:! ENULL "` jmuc 9 лет назад 0
3
Andy

Общий подход / руководство по созданию правильной конфигурации комплекта шифров вы можете посмотреть здесь: http://www.skytale.net/blog/archives/22-SSL-cipher-setting.html.

Однако автор, похоже, не обратил внимания на реализацию наборов шифров DHE; вам понадобятся эти DHE-шифры, чтобы разрешить Forward Secrecy (FS) для вашего SSL-соединения.

«Конфигурацию готового к использованию набора шифров», включая DHE, можно найти здесь. Кажется, что эта конфигурация также была протестирована для работы с несколькими настройками браузера и ОС: https://github.com/pfsense/pfsense/pull/683

PS: обратите внимание, что сообщение «Прямая секретность (экспериментальная) не желательна» от SSLlabs, похоже, появляется независимо от того, работает FS или нет с вашим соединением, поэтому в настоящее время не слишком беспокоитесь об этом сообщении.

Секретным соусом, который находился в нескольких ссылках, было: ssl.honor-cipher-order = "enable" ssl.cipher-list = "ECDHE-RSA-AES256-SHA384: AES256-SHA256: RC4-SHA: RC4: HIGH:! MD5: ! aNULL: EDH: AESGCM» arantius 10 лет назад 0

Похожие вопросы