Назад | Перейти на главную страницу

Повторное согласование SSL в Apache (thc-ssl-dos)

Если посмотреть на thc-ssl-dos, он влияет только на веб-сайты с поддержкой SSL с включенным повторным согласованием.

Я проверял несколько серверов и у меня есть следующие вопросы;

Первый; повторные согласования по умолчанию отключены в моих установках Apache, поэтому в каких сценариях я мог бы его включить?

Во-вторых; У меня есть блок разработчика с несколькими виртуальными хостами, как я могу его включить (только для сайта по умолчанию), чтобы проверить эффективность этой атаки? Я запускаю apache2 на Debian squeeze.

Спасибо.

Apache 2.2.15 или выше, работающий с OpenSSL 0.9.8l или ниже, полностью отключает инициируемое клиентом повторное согласование, без возможности его включить.

С OpenSSL 0.9.8m в Apache 2.2.15 или выше у вас есть пара вещей:

  • Новый стандарт безопасного повторного согласования от RFC 5746 по умолчанию включен.
  • Старый протокол повторного согласования отключен по умолчанию, но при желании его можно снова включить для клиентов, которые не поддерживают новый стандарт, через SSLInsecureRenegotiation On директива.

Из того небольшого исследования, которое я проделал по этому вопросу, мне неясно, влияет ли используемый тип повторного согласования (новый, «безопасный» или старый стандарт) на успешность атаки - это может сработать. только на одном или другом, или на обоих.

Что касается сценариев, для которых его необходимо включить, я считаю, что проверка подлинности сертификата клиента является основным вариантом использования.

Повторное согласование SSL / TLS было включено по умолчанию, но многие дистрибутивы Linux выпустили исправленные версии Apache, которые отключили повторное согласование. Чтобы быть уверенным, вам необходимо проверить номер версии и журнал изменений для вашего дистрибутива Apache.

Предполагая, что вы используете версию, в которой отключено повторное согласование, вы можете повторно включить ее, установив SSLInsecureRenegotiation on в вашей конфигурации apache.