Re: Beast attack kwetsbaarheid van webservers
Op 18-12-11 16:25, Jens Van Broeckhoven schreef:
> Op Sun, 18 Dec 2011 15:19:57 +0100
> Paul van der Vlis <paul@vandervlis.nl> schreef:
>
>> Hallo,
>>
>> SSLlabs zegt dat de Debian stable servers die ik beheer kwetsbaar zijn
>> voor de "beast attack". Heeft hier iemand al eens uitgezocht wat dat
>> nu precies is, en hoe ernstig dat is? Zijn er ook mensen die Apache
>> zo ver gekregen hebben dat die kwetsbaarheid er uit is?
>>
>> Als ik het eerste advies op onderstaande site uitvoer dan ben ik nog
>> steeds kwetsbaar volgens SSLlabs. En het tweede advies is niet
>> eenvoudig realiseerbaar, omdat er voor Debian stable geen TLS 1.2
>> libraries beschikbaar zijn voor zover ik weet.
>>
>> Groet,
>> Paul.
>>
>> https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls
>> https://www.ssllabs.com/ssldb/analyze.html?d=sogo.vandervlis.nl
>>
>
> Hoi.
>
> TLS 1.2 is enkel een optie indien alles aan client zijde compatibel is.
>
> Die RC4 cipher is niet perfect maar wel beter dan niets.
> Met Apache geeft dat zoiets:
>
> SSLProtocol TLSv1
> SSLHonorCipherOrder On
> SSLCipherSuite RC4-SHA:HIGH:!kEDH
>
> Zie:
> http://feeding.cloud.geek.nz/2011/11/ideal-openssl-configuration-for-apache.html
Ook met deze configuratie ben je nog steeds kwetsbaar volgens ssl labs.
Dus vandaar mijn vraag hoe ernstig dat nu eigenlijk is.
Groet,
Paul.
--
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl
Reply to: