ปิดการใช้งาน Cipher Suites เฉพาะ Apache ด้วย WHM / cPanel

3

เรากำลังดำเนินการเว็บเซิร์ฟเวอร์สองสามตัวที่ติดตั้ง WHM / cPanel เพื่อให้เราสามารถจัดการเว็บไซต์และโครงการของเราได้อย่างง่ายดาย เพื่อให้มั่นใจว่าข้อมูลและข้อมูลผู้ใช้ของเราปลอดภัยเราได้ทำการทดสอบความปลอดภัย เซิร์ฟเวอร์ของเราทั้งหมดในปัจจุบันรองรับชุด cypher แบบไม่ระบุชื่อ; โดยเฉพาะ:

TLS_ECDH_anon_WITH_RC4_128_SHA (0xc016)
TLS_ECDH_anon_WITH_AES_128_CBC_SHA (0xc018)
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA (0xc017)
                 and
TLS_ECDH_anon_WITH_AES_256_CBC_SHA (0xc019)

เป็นวิธีที่ดีที่สุดในการปิดการใช้งานเหล่านี้โดยไม่ทำให้เว็บไซต์ของเรายุ่ง?

ssl openssl

— user3035181
แหล่งที่มา

7

ในการเพิ่มคำสั่งเหล่านั้นไปยัง Apache ผ่าน WHM คุณจะต้องเพิ่มคำสั่งเหล่านี้ผ่าน:

การกำหนดค่า Apache> รวมตัวแก้ไข> รวมหลักหลัก

และแน่นอนว่าด้วยปัญหาใหม่ของ Poodle และการปิดใช้งาน SSL v3 คุณอาจต้องการ:

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

อย่างไรก็ตามฉันเชื่อว่าคุณอาจต้องอัปเดตการตั้งค่าชุดรหัส SSL ภายใน

การกำหนดค่า Apache> การกำหนดค่าทั่วโลก> SSL Cipher Suite

เพื่อสิ่งนี้:

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH:!aNULL

แน่นอนเมื่อฉันอัปเดตเซิร์ฟเวอร์ของฉันเพื่อปิดการใช้งาน SSLv3 และยังปิดการใช้งาน ciphers ที่อนุญาตให้มีการตรวจสอบสิทธิ์แบบไม่ระบุชื่อการทำบิตแรกเพียงอย่างเดียวยังคงแสดงให้เห็นว่าเซิร์ฟเวอร์ของฉันรายงานว่า

— Keith Langmead
แหล่งที่มา

2

ฉันสามารถยืนยันได้ว่าขั้นตอนเหล่านี้ลด POODLE บน CentOS 6.5 ที่ใช้ WHM / cPanel ตามการทดสอบเซิร์ฟเวอร์ SSL Labs SSL ของ Qualys

— Night Owl

TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011) อ่อนแอ 128; TLS_RSA_WITH_RC4_128_SHA (0x5) อ่อนแอ 128; TLS_RSA_WITH_RC4_128_MD5 (0x4) อ่อนแอ 128; ความคิดใดสำหรับวิทยานิพนธ์หนึ่งโปรด

— zeflex

1

เมื่อฉันดู WHM> การกำหนดค่าบริการ> การกำหนดค่า Apache> การกำหนดค่าทั่วโลก> ชุดรหัส SSL ฉันพบว่ารายการอนุญาตโปรโตคอล SSL รุ่นเก่ากว่า เพียงแค่เลือกปุ่มตัวเลือกเริ่มต้นและสร้างไฟล์กำหนดค่าใหม่และการเริ่มต้นเซิร์ฟเวอร์ Apache ใหม่ก็เพียงพอที่จะบังคับให้ใช้โปรโตคอลที่ปลอดภัยเพียงสี่โปรโตคอลเท่านั้นซึ่งจะเป็นการขจัดโปรโตคอลที่แสดงเป็นสีส้ม

ฉันตัดสินโดยใช้เครื่องมือรักษาความปลอดภัยhttps://sslanalyzer.comodoca.com/บนเว็บไซต์ของฉัน

ฉันหวังว่าข้อมูลจำเพาะด้านความปลอดภัยนั้นง่ายกว่าและมีข้อผิดพลาดน้อยกว่าที่จะระบุใน WHM

ด้วย WHM ฉันชอบเลือกตัวเลือกเริ่มต้นเว้นแต่ฉันจะมีเหตุผลที่ดีในการระบุสิ่งที่แตกต่าง

— เดวิดสเปคเตอร์
แหล่งที่มา

0

วิธีที่ง่ายที่สุดคือแก้ไขไฟล์กำหนดค่า Apache ของคุณและเปลี่ยนคำสั่ง SSL บางอย่าง

โดยปกติคุณสามารถทำได้โดยการเปลี่ยนSSLCipherSuiteคำสั่ง หัวข้อที่ถูกกล่าวถึงไม่กี่ครั้งใน StackExchange คือที่นี่: “ดีที่สุด” Web Server SSL Cipher สวีทกำหนดค่า

โปรดดูการกำหนดค่า SSL สำหรับ Apacheสำหรับรายละเอียดเพิ่มเติม

ฉันหวังว่ามันจะช่วยอย่างใด

แก้ไข:

การกำหนดค่าชุบแข็งแบบอย่างสามารถมีลักษณะดังนี้:

SSLProtocol ALL -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

อย่างไรก็ตามโปรดอย่าลืมปรับให้เข้ากับความต้องการของคุณ

— boleslaw.smialy
แหล่งที่มา

0

ฉันแนะนำให้คุณปิดการใช้งานSSL2และSSL3และเปิดใช้งานTLS

สำหรับ WHM => Apache Configuration => รวมตัวแก้ไข => รวมหลักก่อน

และเลือกทุกรุ่น

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

หลังจากรีสตาร์ท Apacheทั้งหมด

และถ้ายังไม่รองรับอย่างถูกต้องฉันแนะนำให้คุณสร้าง apache ใหม่โดยEasyapache

— ชิฟซิงห์
แหล่งที่มา