5 votes

The Quantum Physicist avatar

Comment puis-je désactiver le chiffrement TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 dans Apache2?

Demandé el 18 de Novembre, 2019
Quand la question a-t-elle été
11586 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Dans SSL labs, j'ai vu que j'utilise ce "cipher faible" :

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Maintenant dans Apache, voici l'ensemble de suites que j'ai activées :

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384

À cette liste ci-dessus, j'ai essayé d'ajouter !ECDHE-RSA-AES256-CBC-SHA384, mais cela n'a pas aidé. J'ai également essayé d'ajouter !CBC, et cela ne résout pas le problème dans SSL Labs non plus. Que devrais-je faire pour désactiver ce cipher ?

Je suis sur Debian Buster. La version d'Apache que j'utilise est 2.4.38-3+deb10u3. Tout est à jour.

Demandé el 18 de Novembre, 2019 par The Quantum Physicist

Réponse

Trop de publicités?

5voto

Piotr P. Karwasz avatar
Piotr P. Karwasz Points 5067

La suite de chiffrement que vous essayez de supprimer s'appelle ECDHE-RSA-AES256-SHA384 par openssl.

Chaque fois que dans votre liste de chiffrements apparaît AES256 non suivi de GCM, cela signifie que le serveur utilisera AES en mode chiffrement par bloc en chaîne (CBC). Ce chiffrement n'est en aucun cas compromis ou faible (surtout lorsqu'il est utilisé avec une bonne fonction de hachage comme les variantes de SHA-2 que vous avez dans votre liste). Il est simplement moins recommandé que le mode Galois Counter.

Avant de choisir manuellement vos chiffrements, vous devriez lire la page TLS côté serveur de Mozilla pour faire un choix éclairé. Par exemple, Debian 8 n'a que 4 ans et n'a pas la version 1.1 d'openssl.

Une fois que vous avez modifié votre liste de suites de chiffrement comme vous le souhaitez, vous pouvez tester le résultat avec :

openssl ciphers -v 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384'
Répondu el 18 de Novembre, 2019 par Piotr P. Karwasz (5067 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X