httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Mario Brandt <jbl...@gmail.com>
Subject Re: SSL Anonymous Cipher Suites Supported
Date Fri, 02 Dec 2011 08:06:58 GMT
Hallo Reindl,
das Problem ist Au=None

Das kann mit SSLCipherSuite behoben werden, wenn kann Au=None
verbietet mit !aNULL

Beispiel

SSLProtocol all -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown

Diese Config ist auch imun gegen CVE-2011-3389 / beast attack. Hat
allerdings den Nachteil, dass im Grunde alle Clients "nur" 128 bit
Verschlüsselung nutzen und nicht mehr 256.

Gruß
Mario

2011/12/1 Reindl Harald <h.reindl@thelounge.net>:
> Hi
>
> Warum bekomme ich bei einem Scan eines Dienstleisters mit folgender
> Konfiguration den Report unten zurück?
> _________________________________________________________
>
> SSLEngine              On
> SSLProtocol            All -SSLv2
> SSLCipherSuite         HIGH
> SSLVerifyClient        Off
> SSLVerifyDepth         10
> _________________________________________________________
>
> mittleres Risiko [ TCP 443 ]: SSL Anonymous Cipher Suites Supported
> Das untersuchte System unterstützt anonyme SSL-Cipher. Dies ermöglicht einem Administrator
> zwar, die SSL-Verschlüsselung zu verwenden, ohne ein Zertifikat zu beantragen bzw. zu
> generieren, doch ist es einem Client so unmöglich, die Identität des Hosts zu verifizieren.
Dadurch
> sind Man-in-the-middle Angriffe auf solche Verbindungen möglich.
>
> Ausgabe:
> The remote server supports the following anonymous SSL ciphers :
> ADH-DES-CBC3-SHA
> ADH-DES-CBC3-SHA
> ADH-AES128-SHA
> ADH-AES256-SHA
> ADH-CAMELLIA128-SHA
> ADH-CAMELLIA256-SHA
> Kx=DH
> Kx=DH
> Kx=DH
> Kx=DH
> Kx=DH
> Kx=DH
> Au=None
> Au=None
> Au=None
> Au=None
> Au=None
> Au=None
> Enc=3DES(168)
> Mac=SHA1
> Enc=3DES(168)
> Mac=SHA1
> Enc=AES(128)
> Mac=SHA1
> Enc=AES(256)
> Mac=SHA1
> Enc=Camellia(128) Mac=SHA1
> Enc=Camellia(256) Mac=SHA1
> The fields above are :
> {OpenSSL ciphername}
> Kx={key exchange}
> Au={authentication}
> Enc={symmetric encryption method}
>
> --
>
> Reindl Harald
> the lounge interactive design GmbH
> A-1060 Vienna, Hofmühlgasse 17
> CTO / software-development / cms-solutions
> p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40
> icq: 154546673, http://www.thelounge.net/
>
> http://www.thelounge.net/signature.asc.what.htm
>

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message