SSLCipherSuite TLS 1.0, 1.1 और 1.2 का समर्थन करने के लिए Apache में सेटिंग्स

मेरे पास एक अपाचे 2.4.7 वेब सर्वर है जो एक एकल आईपी पते का उपयोग करके कई डोमेन नाम चला रहा है। पुडल भेद्यता के परिणामस्वरूप, मैंने निम्नलिखित SSLCipherSuiteपंक्ति को जोड़ा । इसने थोड़ी देर के लिए ठीक काम किया, लेकिन उपयोगकर्ता फ़ायरफ़ॉक्स में पृष्ठ तक पहुंचने के साथ समस्याओं की रिपोर्ट कर रहे हैं। उपयोगकर्ताओं को ब्राउज़र स्विच करने के लिए कहना दुर्भाग्य से एक विकल्प नहीं है, इसलिए मुझे टीएलएस 1.0, 1.1 और 1.2 का समर्थन करने के लिए सेटिंग्स बदलने की आवश्यकता है।

वर्तमान सेटिंग्स हैं:

<VirtualHost ZYX.XYZ.org:443>
DocumentRoot /var/www/ZYX.XYZ/www
ServerName ZYX.XYZ.org

<Directory "/var/www/ZYX.XYZ/">
  allow from all
  Options -Indexes
</Directory>

SSLEngine on
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
SSLCertificateFile /etc/apache2/ssl/XYZ.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/XYZ.org.key
SSLCACertificateFile /etc/apache2/ssl/gd_bundle-g2-g1.crt
</VirtualHost>

यदि हम क्वालिस के परीक्षण को देखते हैं, तो हम देखते हैं कि सर्वर केवल टीएलएस 1.2 का समर्थन करता है।

टीएलएस 1.0, टीएलएस 1.1 और टीएलएस 1.2 को सक्षम करने के लिए उपयुक्त सेटिंग्स क्या होगी, इसलिए साइट पुराने ब्राउज़रों का समर्थन कर सकती है, और सुरक्षा का एक सभ्य स्तर भी बनाए रख सकती है?

निम्न कॉन्फ़िगरेशन SSLLabs के अनुसार सबसे अच्छा कॉन्फ़िगरेशन है (या उपयोग किया जाता है):

SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

हालांकि, यह सभी पुराने ब्राउज़रों (ओपेरा मिनी सहित) को बाहर करेगा, क्योंकि इसमें गैर-पीएफएस और आरसी 4 सिफर सुइट्स का अभाव है। आप RC4 को सक्षम करने के लिए निम्नलिखित (निश्चित रूप से बंद होने से पहले) को जोड़ सकते हैं, जिसमें PFS के बिना RC4 में एक गिरावट (अंतिम प्रविष्टि) शामिल है :

:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:RC4-SHA

आपको ASAP को अपग्रेड करने के लिए उपयोगकर्ताओं को प्रोत्साहित करना चाहिए। आरसी 4 टूट गया है और अब इसका उपयोग नहीं किया जाना चाहिए, खासकर पीएफएस के बिना।

बेहतर ग्रेड प्राप्त करने के लिए, एक एचएसटीएस हेडर भी भेजें (इसके लिए काम करने के लिए, आपको सक्षम करने की आवश्यकता है mod_header):

Header always set Strict-Transport-Security "max-age=63072000;"

यह विन्यास अपाचे <2.2.26 के लिए काम नहीं करेगा, क्योंकि यह एलिप्टिक-वक्र क्रिप्टोग्राफी का समर्थन नहीं करता है।

अद्यतन :
बस जाँच की, यह अभी भी A + के लिए अच्छा है। :) मेरा मानना ​​है कि यह SHA256 के साथ एक प्रमाण पत्र की आवश्यकता है, हालांकि।

अद्यतन अक्टूबर 2015 :
मुझे हाल ही में SSL विन्यास के लिए एक और जनरेटर मिला है , जो मोज़िला द्वारा प्रदान किया गया है। यह सिफर का आदेश देता है ताकि क्रोम यह न कहे कि आप एक डिप्रेस्ड साइफर सूट का उपयोग कर रहे हैं।

मुझे सिफरली.स्ट पर यह सिफारिश मिली :

SSLCipherSuite AES128+EECDH:AES128+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off 
SSLUseStapling on 
SSLStaplingCache "shmcb:logs/stapling-cache(150000)" 

 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
                                                           ^^^^^^^^

SSLv3 सिफर सुइट्स को अक्षम करना SSL3.0 के साथ पेश किए गए सभी सिफर सुइट्स को निष्क्रिय कर देता है। चूंकि ये सिफर सुइट्स बाद के एसएसएल संस्करणों (TLS1.0 +) के साथ भी उपयोग किए जाते हैं और नए सिफर सुइट्स ज्यादातर TLS1.2 के साथ पेश किए गए थे, इसलिए यह सेटिंग TLS1.0 और TLS1.1 अनुपलब्ध है क्योंकि कोई साझा सिफर्स नहीं है। इस प्रकार प्रोटोकॉल TLS1.2 के लिए प्रभावी रूप से प्रतिबंधित है।

यदि आप openssl ciphers -V <cipher>अपने सिफर स्ट्रिंग के साथ कॉल करेंगे, तो आप देखेंगे कि सभी उपलब्ध सिफर को TLS1.2 की आवश्यकता होती है।

उदाहरण के लिए openssl ciphers -V TLSv1.2:।

Apache 2.4 विन्यास में SSLOpenSSLConfCmd निर्देश देखें ।

SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2"