<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">2013/7/11 Savvas Radevic <span dir="ltr"><<a href="mailto:vicedar@gmail.com" target="_blank">vicedar@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div dir="ltr"><div>Έχει κάποιος εμπειρία με θέματα ασφάλειας, SSL & <a href="https://en.wikipedia.org/wiki/Transport_Layer_Security#BEAST_attack" target="_blank">Beast attack</a>;<br><br></div></div></blockquote><div>

<br></div><div>Το BEAST είναι ένα από τα ζητήματα, και υπάρχουν και άλλα όπως το CRIME.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div dir="ltr"><div>Συγκεκριμένα, ποια είναι η πιο ασφαλής ρύθμιση του <u><b>apache</b></u> για ssl;<br></div></div></blockquote><div><br></div><div>Γενικά πιστεύω ότι η σελίδα <a href="http://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/">http://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/</a> περιγράφει επιγραμματικά την όλη κατάσταση. Για Ubuntu και ιδίως το 12.04, έχουν γίνει backport στον Apache κάποιες διορθώσεις που έγιναν στο Apache 2.4.<br>

</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>
Έχω απενεργοποιήσει το TLSv1 και το SSLv2, πρέπει να κάνω και κάτι άλλο; <img src="http://forum.ubuntu-gr.org/images/smilies/icon_problem.gif" alt=":problem:" title="Problem"> <br></div></div></blockquote><div><br></div>

<div>Αυτό το SSLv2 είναι από το 1996 και δεν είναι σε πρακτική χρήση πια, οπότε μια χαρά. <br><br>Το TLSv1 ξεκίνησε το 1999 και το 2006 βγήκε το TLSv1.1 (και πιο πρόσφατα το TLSv1.2). <br></div><div>Μέχρι και το 2011 περίπου, οι δημοφιλείς περιηγητές όπως Chrome δεν υποστήριζαν TLSv1.1 ή νεότερο. Οπότε, αν υπάρχει πελάτης που έχει διατηρήσει με κάποιο τρόπο μια παλιά έκδοση περιηγητή (ή κανένα πραγματικά παλιό Explorer 6), τότε χρειάζεσαι να υποστηρίζεις το TLSv1.<br>

</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Επίσης, διάβασα ότι το RC4 δεν είναι ασφαλές πλέον. Αληθεύει;<br>

</div></div></blockquote><div><br></div><div>Γενικά στην ασφάλεια υπάρχουν περιπτώσεις όπου το αν κάτι είναι ασφαλές ή όχι, έχει πολλές διαβαθμίσεις.<br></div><div>Πράγματι, από πλευράς κρυπτογραφίας (ακαδημαϊκά) το RC4 δεν είναι ασφαλές, ωστόσο από πλευρά πρακτικής εκμετάλλευσης κάποιας αδυναμίας, το πρόβλημα δεν είναι τόσο κρίσιμο όπως για παράδειγμα θα ήταν κρίσιμο να βάλεις WEP σε ασύρματο δίκτυο.<br>

</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>
Μήπως κάποιος ξέρει ποια "cipher suites" να χρησιμοποιήσω στο "SSLCipherSuite";<br><br>Το ssl είναι class 1 από το <a href="http://www.startssl.com" target="_blank">http://www.startssl.com</a> αν έχει σημασία.<br>


<br></div></div></blockquote><div><br></div><div>Μπορείς να δεις τα χαρακτηριστικά του πιστοποιητικού όπως αν χρησιμοποιεί SHA265 ή SHA384 κτλ, και να κανονίσεις κατάλληλα παρακάτω στο ciphersuite.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div dir="ltr"><div>Φαίνεται πως αυτή η ρύθμιση δουλεύει:<br><br><span style="font-family:courier new,monospace">   SSLEngine on<br><br>   SSLCompression off  # disallow for this vhost</span> <br></div></div></blockquote>

<div><br></div><div>Οκ για αντιμετώπιση του CRIME.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span style="font-family:courier new,monospace">   SSLHonorCipherOrder On<br>

   SSLProtocol all -SSLv2 -TLSv1<br></span></div></div></blockquote><div><br></div><div>Με απενεργοποίηση του TLSv1 μπορεί να συναντήσεις πελάτες που δε θα μπορούν να συνδεθούν, είτε διότι έχουν παλιές εκδόσεις περιηγητών Chrome, Firefox, είτε επειδή κόλλησαν στον IE 6.0/7.0, είτε προσπαθούν να συνδεθούν από κάποιο παράξενο κινητό.<br>

</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span style="font-family:courier new,monospace">
   SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM<br></span></div></div></blockquote><div><br></div><div>Εδώ θα πρότεινα κάτι σαν<br><pre><span class="">SSLCipherSuite</span> AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH<br>

<br><font size="4"><span style="font-family:arial,helvetica,sans-serif">Αυτό το GCM είναι καλό, και στη δική σου εκδοχή αναφέρεις να μη χρησιμοποιηθεί το AESGCM <br>(που δεν γνωρίζω πως σχετίζεται με AES128-GCM-SHA256 και το </span></font><font size="4"><span style="font-family:arial,helvetica,sans-serif"><span style="font-family:courier new,monospace">AES256-SHA256 που δηλώνεις εσύ.</span>).</span></font><br>

<br></pre></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span style="font-family:courier new,monospace"><br>   SSLCertificateFile /etc/ssl/ssl.crt<br>

   SSLCertificateKeyFile /etc/ssl/ssl.key<br>   SSLCertificateChainFile /etc/ssl/sub.class1.server.ca.pem<br>
   SSLCACertificateFile /etc/ssl/ca.pem</span><br><br></div><div><br></div><div>Μήπως γνωρίζει κάποιος αν είναι εντάξει αυτή η ρύθμιση; Και αν υποστηρίζεται από τους κοινούς browsers (chrome/ium, IE, mozilla firefox, opera);<br>


</div><div><br></div><br>Μπορείτε να ελέγξετε το ssl του δικού σας server με το testsslserver.jar: <a href="http://www.bolet.org/TestSSLServer/" target="_blank">http://www.bolet.org/TestSSLServer/</a><br><span style="font-family:courier new,monospace"><br>


wget <a href="http://www.bolet.org/TestSSLServer/TestSSLServer.jar" target="_blank">http://www.bolet.org/TestSSLServer/TestSSLServer.jar</a><br>java -jar TestSSLServer.jar <a href="http://oserversas.gr" target="_blank">oserversas.gr</a> 443<br>

<br><br></span></div>
</blockquote></div>Έχει δοκιμή και στο <a href="https://www.ssllabs.com/ssltest/">https://www.ssllabs.com/ssltest/</a><br><br>Σίμος<br></div></div>