Re: Beast attack kwetsbaarheid van webservers
Op Sun, 18 Dec 2011 15:19:57 +0100
Paul van der Vlis <paul@vandervlis.nl> schreef:
> Hallo,
>
> SSLlabs zegt dat de Debian stable servers die ik beheer kwetsbaar zijn
> voor de "beast attack". Heeft hier iemand al eens uitgezocht wat dat
> nu precies is, en hoe ernstig dat is? Zijn er ook mensen die Apache
> zo ver gekregen hebben dat die kwetsbaarheid er uit is?
>
> Als ik het eerste advies op onderstaande site uitvoer dan ben ik nog
> steeds kwetsbaar volgens SSLlabs. En het tweede advies is niet
> eenvoudig realiseerbaar, omdat er voor Debian stable geen TLS 1.2
> libraries beschikbaar zijn voor zover ik weet.
>
> Groet,
> Paul.
>
> https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls
> https://www.ssllabs.com/ssldb/analyze.html?d=sogo.vandervlis.nl
>
Hoi.
TLS 1.2 is enkel een optie indien alles aan client zijde compatibel is.
Die RC4 cipher is niet perfect maar wel beter dan niets.
Met Apache geeft dat zoiets:
SSLProtocol TLSv1
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!kEDH
Zie:
http://feeding.cloud.geek.nz/2011/11/ideal-openssl-configuration-for-apache.html
--
Jens Van Broeckhoven
Reply to: