[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Beast attack kwetsbaarheid van webservers

Op 18-12-11 16:25, Jens Van Broeckhoven schreef:
> Op Sun, 18 Dec 2011 15:19:57 +0100
> Paul van der Vlis <paul@vandervlis.nl> schreef:
> 
>> Hallo,
>>
>> SSLlabs zegt dat de Debian stable servers die ik beheer kwetsbaar zijn
>> voor de "beast attack". Heeft hier iemand al eens uitgezocht wat dat
>> nu precies is, en hoe ernstig dat is?  Zijn er ook mensen die Apache
>> zo ver gekregen hebben dat die kwetsbaarheid er uit is?
>>
>> Als ik het eerste advies op onderstaande site uitvoer dan ben ik nog
>> steeds kwetsbaar volgens SSLlabs. En het tweede advies is niet
>> eenvoudig realiseerbaar, omdat er voor Debian stable geen TLS 1.2
>> libraries beschikbaar zijn voor zover ik weet.
>>
>> Groet,
>> Paul.
>>
>> https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls
>> https://www.ssllabs.com/ssldb/analyze.html?d=sogo.vandervlis.nl
>>
> 
> Hoi.
> 
> TLS 1.2 is enkel een optie indien alles aan client zijde compatibel is. 
> 
> Die RC4 cipher is niet perfect maar wel beter dan niets.
> Met Apache geeft dat zoiets:
> 
> SSLProtocol TLSv1
> SSLHonorCipherOrder On
> SSLCipherSuite RC4-SHA:HIGH:!kEDH
> 
> Zie:
> http://feeding.cloud.geek.nz/2011/11/ideal-openssl-configuration-for-apache.html

Ook met deze configuratie ben je nog steeds kwetsbaar volgens ssl labs.
Dus vandaar mijn vraag hoe ernstig dat nu eigenlijk is.

Groet,
Paul.



-- 
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl
Reply to: