টিএলএস 1.0, 1.1 এবং 1.2 সমর্থন করার জন্য আপাচে SSLCipherSuite সেটিংস


8

আমার একটি অ্যাপাচি ২.৪..7 ওয়েব সার্ভারে একটি একক আইপি ঠিকানা ব্যবহার করে একাধিক ডোমেন নাম চলছে running পোডল দুর্বলতার ফলস্বরূপ, আমি নিম্নলিখিত SSLCipherSuiteলাইনটি যুক্ত করেছি। এটি কিছুক্ষণ ঠিকঠাক কাজ করেছিল, তবে ব্যবহারকারীরা ফায়ারফক্সে পৃষ্ঠাটি অ্যাক্সেস করতে সমস্যাগুলি জানাচ্ছেন। ব্যবহারকারীদের ব্রাউজারগুলিতে স্যুইচ করতে অনুরোধ করা দুর্ভাগ্যক্রমে কোনও বিকল্প নয়, সুতরাং টিএলএস 1.0, 1.1 এবং 1.2 সমর্থন করার জন্য আমার সেটিংস পরিবর্তন করতে হবে।

বর্তমান সেটিংস হ'ল:

<VirtualHost ZYX.XYZ.org:443>
DocumentRoot /var/www/ZYX.XYZ/www
ServerName ZYX.XYZ.org

<Directory "/var/www/ZYX.XYZ/">
  allow from all
  Options -Indexes
</Directory>

SSLEngine on
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
SSLCertificateFile /etc/apache2/ssl/XYZ.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/XYZ.org.key
SSLCACertificateFile /etc/apache2/ssl/gd_bundle-g2-g1.crt
</VirtualHost>

আমরা যদি কোয়ালিগুলির পরীক্ষাটি দেখে থাকি তবে আমরা দেখতে পাই যে সার্ভারটি কেবলমাত্র টিএলএস 1.2 সমর্থন করে।

টিএলএস 1.0, টিএলএস 1.1 এবং টিএলএস 1.2 সক্ষম করার জন্য উপযুক্ত সেটিংসগুলি কী হবে, যাতে সাইটটি পুরানো ব্রাউজারগুলিকে সমর্থন করতে পারে, এবং সুরক্ষার একটি শালীন স্তর বজায় রাখতে পারে?

উত্তর:


13

নিম্নলিখিত কনফিগারেশনটি (বা ব্যবহৃত হতে পারে) এসএসএলএব অনুসারে সেরা কনফিগারেশন:

SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

এটি অবশ্য সমস্ত পুরানো ব্রাউজারগুলি (অপেরা মিনি সহ!) বাদ দেবে, কারণ এতে নন-পিএফএস এবং আরসি 4 সিফার স্যুট নেই। আপনি পিএফএস ছাড়াই আরসি 4-তে একটি ফ্যালব্যাক (শেষ প্রবেশ) সহ আরসি 4 সক্ষম করতে নিম্নলিখিতগুলি (অবশ্যই সমাপ্তের উদ্ধৃতিটির আগে অবশ্যই) সংযোজন করতে পারেন :

:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:RC4-SHA

আপনার ASAP আপগ্রেড করার জন্য ব্যবহারকারীদের উত্সাহ দেওয়া উচিত। আরসি 4 টি নষ্ট হয়ে গেছে এবং আর ব্যবহার করা উচিত নয়, বিশেষত পিএফএস ছাড়া without

আরও ভাল গ্রেড অর্জন করতে, এইচএসটিএস শিরোনামও প্রেরণ করুন (এটি কাজ করার জন্য আপনাকে সক্ষম করতে হবে mod_header):

Header always set Strict-Transport-Security "max-age=63072000;"

এই কনফিগারেশনটি অ্যাপাচি <২.২.২6 এর জন্য কাজ করবে না কারণ এটি উপবৃত্তাকার-কার্ভ ক্রিপ্টোগ্রাফি সমর্থন করে না।

আপডেট : সন্ধান
করা হয়েছে, এটি এখনও A + এর পক্ষে ভাল good :) আমি বিশ্বাস করি যদিও এর জন্য SHA256 সহ একটি শংসাপত্রের প্রয়োজন।

অক্টোবর 2015 আপডেট করুন :
আমি সম্প্রতি মজিলা দ্বারা সরবরাহিত এসএসএল কনফিগারেশনের জন্য আর একটি জেনারেটর পেয়েছি । এটি সাইফারদের অর্ডার দেয় যাতে ক্রোম যাতে না বলা হয় যে আপনি হতাশ সাইফার স্যুটটি ব্যবহার করছেন।


3

আমি সিফারলি.স্টে এই প্রস্তাবটি পেয়েছি :

SSLCipherSuite AES128+EECDH:AES128+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off 
SSLUseStapling on 
SSLStaplingCache "shmcb:logs/stapling-cache(150000)" 

3
 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
                                                           ^^^^^^^^

এসএসএলভি 3 সিফার স্যুট অক্ষম করা SSL3.0 এর সাথে প্রবর্তিত সমস্ত সাইফার স্যুট অক্ষম করে। যেহেতু এই সিফার স্যুটগুলি পরে এসএসএল সংস্করণগুলি (টিএলএস 1.0 +) এর সাথেও ব্যবহৃত হয় এবং নতুন সাইফার স্যুটগুলি বেশিরভাগ টিএলএস 1.2 এর সাথে প্রবর্তিত হয়েছিল এই ভাগ করে নেওয়া সাইফারগুলির কারণে এই সেটিংটি টিএলএস 1.0 এবং টিএলএস 1.1 অনুপলব্ধ করে। সুতরাং প্রোটোকল কার্যকরভাবে টিএলএস 1.2-তে সীমাবদ্ধ।

যদি আপনি openssl ciphers -V <cipher>আপনার সিফার স্ট্রিংয়ের সাথে কল করেন তবে আপনি দেখতে পাবেন যে সমস্ত উপলব্ধ সাইফারগুলির জন্য টিএলএস 1.2 প্রয়োজন।

উদাহরণস্বরূপ: openssl ciphers -V TLSv1.2


আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.