আপনি যে নিবন্ধটি সংযুক্ত করেছেন , সেখান থেকে এই দুর্বলতার হাত থেকে নিজেকে রক্ষা করার জন্য তিনটি প্রস্তাবিত পদক্ষেপ রয়েছে। নীতিগতভাবে এই পদক্ষেপগুলি আপনি যে কোনও সফ্টওয়্যার এসএসএল / টিএলএস ব্যবহার করতে পারেন তার ক্ষেত্রে প্রযোজ্য তবে এখানে আমরা অ্যাপাচি (httpd) এ প্রয়োগ করার জন্য নির্দিষ্ট পদক্ষেপগুলি নিয়ে কাজ করব যেহেতু এটিই সমস্যাযুক্ত সফ্টওয়্যার।
- রফতানিকারক সিফার স্যুট অক্ষম করুন
আমরা নীচে ২. যে কনফিগারেশন পরিবর্তন করব সেগুলি নিয়ে ডিল্ট করুন ( রেখার !EXPORT
শেষের দিকে SSLCipherSuite
আমরা কীভাবে রফতানি সিফার স্যুটগুলি অক্ষম করব)
- ডিপোলি (ইফেমেরাল) উপবৃত্তাকার-বক্ররেখা ডিফি-হেলম্যান (ইসিডিএইচই)
এই জন্য, আপনাকে আপনার অ্যাপাচি কনফিগ ফাইলে কিছু সেটিং এডিট করতে হবে - যথা SSLProtocol
, SSLCipherSuite
, SSLHonorCipherOrder
একটি "বেস্ট পদ্ধতি" সেটআপ আছে। নীচের মত কিছু যথেষ্ট হবে:
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
দ্রষ্টব্য: কোন SSLCipherSuite
সেটিংসটি ব্যবহার করবেন সে হিসাবে এটি সর্বদা পরিবর্তিত হয় এবং সর্বশেষ প্রস্তাবিত কনফিগারেশন পরীক্ষা করার জন্য এই জাতীয় সংস্থার সাথে পরামর্শ করা ভাল ধারণা ।
৩. একটি শক্তিশালী, অনন্য ডিফী হেলম্যান গ্রুপ তৈরি করুন
এটি করতে, আপনি চালাতে পারেন
openssl dhparam -out dhparams.pem 2048
।
নোট করুন যে প্যারামগুলি উত্পন্ন হওয়ার সাথে সাথে এটি সার্ভারে উল্লেখযোগ্য বোঝা চাপিয়ে দেবে - আপনি সর্বদা অন্য মেশিনে প্যারাম তৈরি করে এবং ব্যবহারের scp
জন্য প্রশ্নে সার্ভারে স্থানান্তর করতে বা ব্যবহার করে অনুরূপ সমস্যার সমাধান করতে পারেন।
অ্যাপাচি ডকুমেন্টেশনdhparams
থেকে এই নতুন উত্পাদিত অ্যাপাচি ব্যবহার করতে :
কাস্টম ডিএইচ প্যারামিটার তৈরি করতে, ওপেনএসএল ধাপারম কমান্ডটি ব্যবহার করুন। বিকল্পভাবে, আপনি আরএফসি 2409, বিভাগ 6.2 থেকে সম্পর্কিত এসএসসি সার্টিফিকেট ফাইলটিতে নিম্নলিখিত মানক 1024-বিট ডিএইচ প্যারামিটার যুক্ত করতে পারেন :
(জোর আমার)
এরপরে একটি স্ট্যান্ডার্ড 1024-বিট ডিএইচ প্যারামিটার অনুসরণ করা হবে। এ থেকে আমরা অনুমান করতে পারি যে কাস্টম-উত্পন্ন ডিএইচ প্যারামিটারগুলি কেবল SSLCertificateFile
প্রশ্নে প্রাসঙ্গিকভাবে সংযুক্ত করা যেতে পারে ।
এটি করতে, নিম্নলিখিতগুলির মতো কিছু চালান:
cat /path/to/custom/dhparam >> /path/to/sslcertfile
বিকল্পভাবে, আপনি মূলত লিঙ্ক করা নিবন্ধটির অ্যাপাচি উপবিধান অনুসারে, আপনি নিজেরাই তৈরি করেছেন কাস্টম dhparams ফাইলটি নির্দিষ্ট করে দিতে পারেন যদি আপনি শংসাপত্রের ফাইলটি নিজেই পরিবর্তন না করতে চান তবে:
SSLOpenSSLConfCmd DHParameters "/path/to/dhparams.pem"
যে কোনও ক্ষেত্রে অ্যাপাচি কনফিগারেশন (গুলি) আপনার নির্দিষ্ট এসএসএল / টিএলএস বাস্তবায়নের সাথে প্রাসঙ্গিক - সাধারণত conf.d/ssl.conf
বা conf.d/vhosts.conf
কিন্তু তবে আপনি কীভাবে অ্যাপাচি কনফিগার করেছেন তার উপর নির্ভর করে এটি পৃথক হবে।
এটি লক্ষণীয় যে এই লিঙ্ক অনুসারে ,
অ্যাপাচি ২.৪.। এর আগে ডিএইচ প্যারামিটার সর্বদা 1024 বিটে সেট করা থাকে এবং এটি ব্যবহারকারী কনফিগারযোগ্য নয়। এটি mod_ssl 2.4.7 এ স্থির করা হয়েছে যে রেড হ্যাট তাদের আরএইচএল 6 অ্যাপাচি ২.২ ডিস্ট্রিবিউটে httpd-2.2.15-32.el6 সহ ব্যাকপোর্ট করেছে
ডেবিয়ান হুইজি অ্যাপাচি 2 আপগ্রে 2.2.22-13 + deb7u4 বা তারপরে এবং 1.0.1e-2 + deb7u17 এ ওপেনসেল করুন। উপরের এসএসএল সিফারসুইটটি পুরোপুরি কার্যকরভাবে কাজ করে না, পরিবর্তে এই ব্লগ অনুসারে নিম্নলিখিতটি ব্যবহার করুন :
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
আপনার অ্যাপাচি সংস্করণটি আপনার বিতরণের উপর নির্ভর করে এই সংস্করণ সংখ্যাগুলির চেয়ে পরে আছে কিনা তা পরীক্ষা করা উচিত এবং যদি না হয় - তবে সম্ভব হলে আপডেট করুন।
একবার আপনি আপনার কনফিগারেশনটি আপডেট করার জন্য উপরের পদক্ষেপগুলি সম্পাদন করে, এবং প্রয়োগগুলি প্রয়োগ করার জন্য অ্যাপাচি পরিষেবাটি পুনরায় চালু করার পরে, আপনাকে SSLLabs এবং এই বিশেষ দুর্বলতার সাথে সম্পর্কিত নিবন্ধে পরীক্ষা করে কনফিগারেশনটি পছন্দসই হয়েছে তা পরীক্ষা করা উচিত ।