3

Мы используем несколько веб-серверов, на которых установлен WHM/cPanel, поэтому мы можем легко управлять нашими сайтами и проектами. Чтобы обеспечить защиту нашей информации и информации о пользователях, мы провели несколько тестов безопасности. Все наши серверы в настоящее время поддерживают анонимные наборы шифров; в частности:

TLS_ECDH_anon_WITH_RC4_128_SHA (0xc016)
TLS_ECDH_anon_WITH_AES_128_CBC_SHA (0xc018)
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA (0xc017)
                 and
TLS_ECDH_anon_WITH_AES_256_CBC_SHA (0xc019)

Каков наилучший способ отключить их, не портя наши сайты?

|источник

4 ответа4

7

Чтобы добавить эти директивы в Apache через WHM, вы должны добавить их через:

Конфигурация Apache> Включить редактор> Pre Main Включить

и, конечно же, с новой проблемой с Poodle и отключением SSL v3 вы, вероятно, захотите сделать это:

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Однако я полагаю, что вам также может потребоваться обновить настройки набора шифров SSL в

Конфигурация Apache> Глобальная конфигурация> SSL Cipher Suite

что-то вроде этого:

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH:!aNULL

Конечно, когда я обновил свои серверы, чтобы отключить SSLv3, а также отключить шифры, которые разрешают анонимную аутентификацию, выполнение одного первого бита по-прежнему показывало мой сервер как о доступном, но выполнение второй части также исправило это.

|источник
1

Когда я посмотрел на WHM> Конфигурация службы> Конфигурация Apache> Глобальная конфигурация> SSL Cipher Suite, я обнаружил, что запись допускает более старые протоколы SSL. Простого выбора переключателя по умолчанию и перестройки файла конфигурации и перезапуска сервера Apache казалось достаточно, чтобы принудительно использовать только четыре безопасных протокола, исключая протоколы, которые отображались оранжевым цветом.

Я оценил это, запустив средство защиты https://sslanalyzer.comodoca.com/ на моем веб-сайте.

Хотелось бы, чтобы спецификации безопасности были проще и менее подвержены ошибкам для указания в WHM.

С WHM я предпочитаю выбирать варианты по умолчанию , если у меня нет веских причин для указания чего-то другого.

|источник
0

Я предлагаю вам отключить SSL2 и SSL3 и включить TLS

Для WHM => Apache Configuration => Включить редактор => Pre Main Включить

И выберите ВСЕ версии

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

после перезагрузки Apache

И если все еще не поддерживает должным образом, то я предлагаю вам пересобрать apache от Easyapache

|источник
0

Самый простой способ - отредактировать файл конфигурации Apache и изменить некоторые директивы SSL.

Обычно вы можете сделать это, изменив директиву SSLCipherSuite . Эта тема обсуждалась несколько раз на StackExchange, то есть здесь: «Оптимальная» конфигурация SSL Cipher Suite для веб-сервера .

Пожалуйста, смотрите также конфигурацию SSL для Apache для более подробной информации.

Надеюсь, это поможет как-то.

РЕДАКТИРОВАТЬ:

Примерная закаленная конфигурация может выглядеть так:

SSLProtocol ALL -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Однако, пожалуйста, не забудьте настроить его под свои нужды.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .