আরএইচইএল 4 এ চলমান অ্যাপাচি 2.0 তে সেরা দুর্বলতা ঠিক করা

আমার একটি ওয়েব সার্ভার আরএইচইল 4 এ অ্যাপাচি 2.0 চালাচ্ছে। এই সার্ভারটি সম্প্রতি একটি পিসিআই স্ক্যান ব্যর্থ করেছে।

কারণ: SSLv3.0 / TLSv1.0 প্রোটোকল দুর্বল সিবিসি মোড ঝুঁকির সমাধান: এই আক্রমণটি 2004 সালে সনাক্ত করা হয়েছিল এবং পরবর্তীকালে টিএলএস প্রোটোকলের সংশোধন যা এর জন্য একটি সমাধান রয়েছে। যদি সম্ভব হয় তবে TLSv1.1 বা TLSv1.2 এ আপগ্রেড করুন। যদি TLSv1.1 বা TLSv1.2 এ আপগ্রেড করা সম্ভব না হয় তবে সিবিসি মোড সাইফারগুলি অক্ষম করা দুর্বলতা দূর করবে। অ্যাপাচে নিম্নলিখিত এসএসএল কনফিগারেশন ব্যবহার করে এই দুর্বলতা প্রশমিত করা হয়: এসএসএলসিফারসুইট আরসি 4-এসএএচএসএল-হোনারসিফারআর্ডার: উচ্চ:! এডিএইচ

সহজ ফিক্স, আমি ভেবেছিলাম। আমি অ্যাপাচি কনফিগারেশনে লাইনগুলি যুক্ত করেছি এবং এটি কার্যকর হয়নি। স্পষ্টতই
"SSLHonorCipherOrder On" কেবলমাত্র অ্যাপাচি ২.২ এবং তারপরে কাজ করবে। আমি অ্যাপাচি আপগ্রেড করার চেষ্টা করেছি, শীঘ্রই নির্ভরতা জাহান্নামে চলে এসেছি এবং মনে হচ্ছে অ্যাপাচি ২.২ এ আপগ্রেড করার জন্য আমার পুরো ওএস আপগ্রেড করতে হবে। আমরা কয়েক মাসের মধ্যে এই সার্ভারটি অবসর নিচ্ছি তাই এটির পক্ষে মূল্য নেই।

সমাধানটি বলে "যদি TLSv1.1 বা TLSv1.2 এ আপগ্রেড করা সম্ভব না হয় তবে সিবিসি মোড সাইফারগুলি অক্ষম করা দুর্বলতা দূর করবে" "

আমি কিভাবে এটি অ্যাপাচি ২.০ তে করব? এটা কি সম্ভব? তা না হলে আশেপাশে অন্য কোনও কাজ রয়েছে?

হাত দিয়ে নতুন অ্যাপাচি সংকলন করা ব্যতীত, আমি কেবলমাত্র আর সি 4-এসএইএকে একমাত্র সমর্থিত সাইফার হিসাবে openssl ciphers RC4-SHAতৈরি করতে পারি (এটি কেবলমাত্র একটি সাইফার মুদ্রণ করে তা নিশ্চিত করার জন্য বর্তমান ওপেনসালে পরীক্ষা করা হয়েছে, আপনি একই কাজটি করতে পারেন এটি আপনার পুরানো ওপেনসেলের কিছু অদ্ভুত পুরানো সিফারের সাথে মেলে না তা নিশ্চিত করার জন্য:

SSLCipherSuite RC4-SHA

এমএস বলছে উইন্ডোজ এক্সপি টিএলএস_আরএসএ_ডাব্লিউএইচ_আরসি 4_128_SHA টি সমর্থন করে যাতে আপনার কোনও সামঞ্জস্যের সমস্যা না হয়।

সার্ভার স্তরে সেরা "ঠিক" করার দুটি উপায় রয়েছে।

সেরা বিকল্পটি হ'ল আপনার সার্ভারের এসএসএল লাইব্রেরিটি টিএলএস ভি 1.1 বা তার পরে সমর্থন করে এমন একটিতে আপগ্রেড করা (এবং আপনার ক্লায়েন্টরাও এটি সমর্থন করে তা নিশ্চিত করুন, যাতে আপনি এটি ব্যবহার করতে বাধ্য করতে পারেন)।

অন্য বিকল্পটি হ'ল যে কোনও সিবিসি (সাইফার-ব্লক-চেইনিং) এনক্রিপশন অ্যালগরিদমকে অক্ষম করা এবং এন ইসি (ইলেক্ট্রনিক কোড বুক) সাইফার বা আরসি 4 (ইসিবি অ্যালগরিদমসের মতো কিছু) তাত্ত্বিকভাবে "কম সুরক্ষিত" কারণ একটি প্রদত্ত সরলখণ্ড ইনপুট প্রদত্তটিতে এনক্রিপ্ট করা হয়েছে কী সর্বদা একই সাইফারটেক্সটে ম্যাপ করে যা জ্ঞাত প্লেটেক্সট আক্রমণের সাথে ভাঙ্গা সহজ করে তোলে তবে ব্যবহারিক দিক থেকে এটি কোনও বিশাল সমস্যা হওয়ার সম্ভাবনা নেই Google গুগল (উদাহরণস্বরূপ) এখনও আরসি 4 ব্যবহার করে)।

যে সার্ভারটি আপনি চালাচ্ছেন তা মারা গেছে, সমাহিত হয়েছে এবং ডিকোপোজ করা সম্ভবত প্যাচযুক্ত অ্যাপাচি তৈরি করতে যে পরিমাণ পরিশ্রম দরকার হবে তা মূল্যহীন নয় (আপনাকে বিচ্ছিন্নভাবে অ্যাপাচি এবং ওপেনএসএসএল পুনর্নির্মাণ করতে হবে, যাতে কোনও কিছুকে বিরক্ত না করা উচিত) আপনার সিস্টেমে ডিফল্টরূপে ইনস্টল হওয়া ওপেনএসএসএল সংস্করণটির প্রয়োজন - আপনি যদি এত বেশি কাজ করে থাকেন তবে আপনি পুরো সিস্টেমটিকে বাস্তবে সমর্থিত কিছুতে আপগ্রেড করতে পারেন), যাতে আপনাকে "ইসিবি সাইফারগুলিতে স্যুইচ করুন" হিসাবে ছেড়ে দেয় আপনার কার্যকর সমাধান।

বিস্ট এখনকার দিনে আসলেই আক্রমণটির কিছুই নয় - সমস্ত জনপ্রিয় ব্রাউজারগুলি (আই, ক্রোম, সাফারি, অপেরা) একটি কার্যকর কার্যকর প্রয়োগ করেছে , এবং আক্রমণটি যেভাবে কাজ করে তার কারণ এটি একটি ব্রাউজারের বাইরে কার্যকর করা বেশ কঠিন because (সুতরাং aptএবং yumএখনও বেশ নিরাপদ)।

গুগল থেকে অ্যাডাম ল্যাংলি এই বছরের শুরুর দিকে একটি দুর্দান্ত কথা বলেছিলেন যা আপনাকে পুনরায়: মনোযোগ কেন্দ্রীভূত করতে হবে এমন কিছু ব্যথার পয়েন্টের রূপরেখা দিয়েছে - যখন বেস্ট একটি উল্লেখ অর্জন করেছে তবে এটি উদ্বিগ্ন হওয়ার বিষয়গুলির তালিকার নীচে ছিল।

Ssllabs.com পরীক্ষায় উত্তীর্ণ হবার একমাত্র সমাধানটি হ'ল আপনার অ্যাপাচি httpd.conf এবং আপনার ssl.conf ফাইলগুলিতে নিম্নলিখিত চারটি লাইন যুক্ত করা:

SSLHonorCipherOrder চালু

এসএসএলপ্রোটোকল - সমস্ত + টিএলএসভি 1 + এসএসএলভি 3

এসএসএলসিফারসুইট আরসি 4-এসএএইচএইচ: হাই:! এমডি 5:! নুনল:! ইডিএইচ:! এডিএইচ

এসএসএলএনইসিকিউররেেনেগোটেশন বন্ধ

নিশ্চিত হয়ে নিন যে ssl.conf ফাইলে এই সেটিংসগুলির কোনও আপনার কাছে দুবার পোস্ট করা নেই।

এখন আমার সাইটগুলি একটি এ দিয়ে পাস হয়