Milan Keršláger: prosince 2014

Hodnocení T kvůli použití propadlého certifikátu.

Po druhé vlně POODLE útoku, která se webových serverů běžících na RHEL netýká (nebo jeho klonech, jako je CentOS, Scientific Linux), jsem se rozhodl podívat na zabezpečení u mého kolegy. Pokusil se o zásah a tím získal krásné hodnocení T, které jsem ještě neviděl (viz první obrázek vpravo).

První oprava byla vrácení správného certifikátu, který byl serveru vydán na jaře, čímž jsem postoupil na hodnocení C (viz obrázek vlevo).

Pohledem do konfigurace Apache jsem zjistil, že je tam implicitní nastavení pro SSLProtocol a SSLCipherSuite. Vydal jsem se proto na nákup na server BetterCrypto.org a oboje nastavil podle jejich doporučení, které najdete hned na první stránce. Hodnocení se zlepšilo, tentokrát jsem dostal A- což není špatné (viz obrázek vpravo).

Dalším krokem bylo přidání parametru "SSLHonorCipherOrder On", čímž jsem si vysloužil hodnocení A. Přidání volby "Header add Strict-Transport-Security "max-age=15768000" pak už hodnocení zůstalo, ale dostal jsem za něj malou pochvalu navíc.

Výsledek pak vypadá v konfiguraci Apache takto (uvnitř sekce definice virtuálního serveru naslouchajícího na portu 443):

SSLEngine on
SSLHonorCipherOrder On
Header add Strict-Transport-Security "max-age=15768000"
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA

Poznámka: poslední řádek s SSLCipherSuite je jen jeden a po mezeře následuje řetězec definující ciphery, ve kterém není žádná mezera (jen dvojtečky oddělují jednotlivé položky).

Dalším krokem bude požádání o nový certifikát, který místo SHA1 bude používat ve svém podpisu SHA2. Možná by se dalo nastavení dále vylepšit, ale po tom jsem se od jara zatím nepídil...