Может ли кто-нибудь помочь мне определить, что может быть причиной того, что я все еще получаю пробелы VA от сканера по следующим причинам? На моем сервере размещено несколько веб-приложений, но я использую одни и те же настройки для всех виртуальных хостов.
20007 - Обнаружение протокола SSL версии 2 и 3
ПРИМЕЧАНИЕ. SSLEngine и SSLHonorCipherOrder включены.
Это для протоколов. Все отключено, и включены только TLS версии 1.1 и 1.2, однако сканер по-прежнему обнаруживает SSL v3.
SSLProtocol -Все + TLSv1.1 + TLSv1.2
Я тоже пробовал вот так:
SSLProtocol все -SSLv2 -SSLv3
Я пробовал протестировать следующее: openssl s_client -connect localhost: 443 -ssl2 -> подтверждение отказа (это нормально) openssl s_client -connect localhost: 443 -ssl3 -> это работает, и не уверен, почему, потому что это было отключено для всех vHosts (настройки такие же, как и выше)
===============
Остальные 2 уязвимости:
42873 - Поддерживаются наборы шифров SSL средней надежности Вот список SSL-шифров средней надежности, поддерживаемых удаленным сервером: EDH-RSA-DES-CBC3-SHA Kx = DH Au = RSA Enc = 3DES-CBC (168) Mac = SHA1 ECDHE-RSA-DES-CBC3-SHA Kx = ECDH Au = RSA Enc = 3DES-CBC (168) Mac = SHA1 DES-CBC3-SHA Kx = RSA Au = RSA Enc = 3DES-CBC (168) Mac = SHA1
65821 - Поддерживаются наборы шифров SSL RC4 (бар-мицва) Список комплектов шифров RC4, поддерживаемых удаленным сервером: ECDHE-RSA-RC4-SHA Kx = ECDH Au = RSA Enc = RC4 (128) Mac = SHA1 RC4-MD5 Kx = RSA Au = RSA Enc = RC4 (128) Mac = MD5 RC4-SHA Kx = RSA Au = RSA Enc = RC4 (128) Mac = SHA1
Это CipherSuite. Я выделил жирным шрифтом все шифры, найденные в сканере, и все они были отключены в моей конфигурации, однако они все еще появляются во время сканирования:
SSLCipherSuite "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSAULL + RCA256! EECDH4! ARS +! ! 3DES! MD5! EXP! PSK! SRP! DSS!EDH-RSA-DES-CBC3-SHA ! ECDHE-RSA-DES-CBC3-SHA ! DES-CBC3-SHA ! ECDHE-RSA-RC4-SHA ! RC4-MD5 ! RC4-SHA"
ПРИМЕЧАНИЕ. Журнал изменений для версии httpd, которая у меня есть, не включает CVE для упомянутых пробелов согласно проверке. Я также знаю, что httpd необходимо перезапускать после каждого изменения конфигурации.
Пожалуйста, сообщите, если у кого-то из вас есть предложения, возможно, мне что-то не хватает. Спасибо.
извинения за беспокойство. Мой товарищ по команде обнаружил, что следующие строки также должны быть обновлены в /etc/httpd/conf.d/ssl.conf:
SSLProtocol -all -TLSv1 + TLSv1.1 + TLSv1.2 -SSLv3
SSLCipherSuite "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSAULL + RCA256! ARS +! EECDH + aRSAULL + RCA256! ARS +! ! 3DES! MD5! EXP! PSK! SRP! DSS! EDH-RSA-DES-CBC3-SHA! ECDHE-RSA-DES-CBC3-SHA! DES-CBC3-SHA! ECDHE-RSA-RC4-SHA! RC4-MD5 ! RC4-SHA "
После обновления он очищал результат сканирования безопасности.
Обратитесь к документации apache, это правильная документация, которая сделает рейтинг A + на сервере apache centos.
https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html
Обратитесь к разделу «Как я могу создать SSL-сервер, который принимает только надежное шифрование?»
# "Modern" configuration, defined by the Mozilla Foundation's SSL Configuration
# Generator as of August 2016. This tool is available at
# https://mozilla.github.io/server-side-tls/ssl-config-generator/
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
# Many ciphers defined here require a modern version (1.0.1+) of OpenSSL. Some
# require OpenSSL 1.1.0, which as of this writing was in pre-release.
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off