आपके द्वारा लिंक किए गए लेख से , इस भेद्यता के खिलाफ खुद को बचाने के लिए तीन अनुशंसित कदम हैं। सिद्धांत रूप में ये चरण किसी भी सॉफ्टवेयर पर लागू होते हैं जिन्हें आप एसएसएल / टीएलएस के साथ उपयोग कर सकते हैं, लेकिन यहां हम उन्हें अपाचे (एचटीडी) पर लागू करने के लिए विशिष्ट चरणों से निपटेंगे क्योंकि यह प्रश्न सॉफ्टवेयर है।
- निर्यात सिफर सूट को अक्षम करें
2. हम नीचे किए गए कॉन्फ़िगरेशन परिवर्तनों से निपटेंगे। नीचे ( पंक्ति !EXPORT
के अंत के पास SSLCipherSuite
हम निर्यात सिफर सुइट्स को कैसे अक्षम करेंगे)
- डिप्लॉय (एपेमेरल) एलिप्टिक-कर्व डिफी-हेलमैन (ईसीडीएचई)
इस के लिए, आप अपने अपाचे config फाइल में कुछ सेटिंग संपादित करने की जरूरत - अर्थात् SSLProtocol
, SSLCipherSuite
, SSLHonorCipherOrder
एक "सर्वोत्तम प्रथाओं" सेटअप है। निम्नलिखित की तरह कुछ पर्याप्त होगा:
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
नोट: जैसे कि किस SSLCipherSuite
सेटिंग का उपयोग करना है, यह हमेशा बदलता रहता है, और नवीनतम सुझाए गए कॉन्फ़िगरेशन की जांच करने के लिए इस तरह के संसाधनों से परामर्श करना एक अच्छा विचार है ।
3. एक मजबूत, अद्वितीय डिफी हेलमैन ग्रुप बनाएं
ऐसा करने के लिए, आप चला सकते हैं
openssl dhparam -out dhparams.pem 2048
।
ध्यान दें कि यह सर्वर पर महत्वपूर्ण भार डाल देगा, जबकि परमेस उत्पन्न होते हैं - आप हमेशा इस संभावित मुद्दे को किसी अन्य मशीन पर परमेस उत्पन्न करके और उपयोग scp
के लिए प्रश्न में सर्वर पर उन्हें स्थानांतरित करने के लिए या इसी तरह का उपयोग करके प्राप्त कर सकते हैं।
अपाचे दस्तावेज़ीकरणdhparams
से अपाचे में इन नव-निर्मित का उपयोग करने के लिए :
कस्टम डीएच पैरामीटर उत्पन्न करने के लिए, खुलता है dhparam कमांड का उपयोग करें। वैकल्पिक रूप से, आप निम्न मानक 1024-बिट डीएच मापदंडों को आरएफसी 2409, खंड 6.2 से संबंधित एसएसएलसी सर्टिफिकेट फाइल में जोड़ सकते हैं :
(जोर मेरा)
उसके बाद एक मानक 1024-बिट डीएच पैरामीटर होता है। इससे हम अनुमान लगा सकते हैं कि कस्टम-जेनरेट किए गए डीएच पैरामीटर को केवल संबंधित SSLCertificateFile
प्रश्न में जोड़ा जा सकता है ।
ऐसा करने के लिए, निम्न के समान कुछ चलाएँ:
cat /path/to/custom/dhparam >> /path/to/sslcertfile
वैकल्पिक रूप से, आपके द्वारा मूल रूप से लिंक किए गए लेख के अपाचे उप-भाग के अनुसार, आप अपने द्वारा बनाई गई कस्टम dhparams फ़ाइल को भी निर्दिष्ट कर सकते हैं यदि आप प्रमाणपत्र फ़ाइल को स्वयं बदलना नहीं चाहते हैं, तो इस प्रकार:
SSLOpenSSLConfCmd DHParameters "/path/to/dhparams.pem"
जो भी अपाचे कॉन्फिग्रेशन में होता है, वह आपके विशेष एसएसएल / टीएलएस कार्यान्वयन के लिए प्रासंगिक होता है - आम तौर पर conf.d/ssl.conf
या conf.d/vhosts.conf
लेकिन यह इस बात पर निर्भर करता है कि आपने अपाचे को कैसे कॉन्फ़िगर किया है।
यह ध्यान देने योग्य है कि, इस लिंक के अनुसार ,
अपाचे 2.4.7 से पहले, डीएच पैरामीटर हमेशा 1024 बिट्स पर सेट होता है और उपयोगकर्ता कॉन्फ़िगर करने योग्य नहीं होता है। यह mod_ssl 2.4.7 में तय किया गया है कि Red Hat ने अपने RHEL 6 Apache 2.2 वितरण में httpd-2.2.15-32.el6 के साथ बैकपोर्ट किया है
डेबियन व्हीजी अपाचे 2 को 2.2.22-13 + डिबेट 74 या बाद में अपग्रेड करता है और एसवाईई -2 + डेब्यू 17 तक खुलता है। उपरोक्त SSLCipherSuite पूरी तरह से काम नहीं करता है, इसके बजाय इस ब्लॉग के अनुसार निम्नलिखित का उपयोग करें :
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
आपको जांचना चाहिए कि आपका अपाचे संस्करण आपके वितरण के आधार पर इन संस्करण संख्याओं से बाद में है, और यदि नहीं - यदि संभव हो तो इसे अपडेट करें।
एक बार जब आपने अपने कॉन्फ़िगरेशन को अपडेट करने के लिए उपरोक्त चरणों का प्रदर्शन कर लिया है, और परिवर्तनों को लागू करने के लिए अपाचे सेवा को फिर से शुरू कर दिया है, तो आपको यह जांचना चाहिए कि SSLLabs पर परीक्षण चलाने और इस विशेष भेद्यता से संबंधित लेख पर कॉन्फ़िगरेशन वांछित है ।