Мы находимся на версии Ubuntu 12.04 и apache 2.2.2. Мы провели сканирование PCI на нашем сайте и обнаружили 2 уязвимости, с которыми мы не можем справиться. Первая - это атака BEAST, а другая - поддержка SSL RC4 Cipher Suites.
До сих пор я пытался следовать, что выглядит многообещающим. Я попытался внести еще несколько изменений после поиска помощи, но эти изменения, в свою очередь, начали нарушать работу браузеров и были отклонены.
SSLProtocol -SSLv2 -TLSv1 +SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:!MD5:!aNULL:!EDH
SSLCompression off
или
SSLProtocol ALL -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS
SSLCompression off
По результатам сканирования ssllabs я смог устранить только одну уязвимость. Какие изменения мне нужно сделать, чтобы устранить обе уязвимости и поддержать ли текущую версию браузеров?
В наши дни атака BEAST обычно смягчается с помощью 1 / n-1 разделение записей, поскольку RC4 считается слишком слабым для использования сегодня. Ознакомьтесь с рекомендациями по безопасности вашего дистрибутива на предмет обновленного OpenSSL, который реализует разделение записей 1 / n-1, устраняя CVE-2011-3389. (Обратите внимание, что Кажется, в Ubuntu он уже есть.)
Конечно, предпочтительным решением является использование сервера с поддержкой TLS 1.2.
Что ж, смягчение последствий для BEAST (помимо использования исключительно TLS 1.1 / 1.2, что ваш сервер сейчас не может сделать) - это использование RC4.
Таким образом, вероятно, невозможно настроить ваш сервер таким образом, чтобы он не был отмечен как уязвимый. Если вам абсолютно необходимо избавиться от этих уязвимостей, вам, вероятно, потребуется заменить установку OpenSSL пакета ОС на сторонний пакет более новой версии или скомпилированный из исходных кодов.