paolodaniele.it – linux & networking
SSLCompression offCiao Ragazzi,
oggi vi spiego un po’ di info basilari su come implementare delle policy di strong security per Apache2.
Quello che andremo a fare sarà principalmente la disattivazione della compressione SSL, per evitare attacchi di tipo CRIME e la disabilitazione di SSL v.3
Per chi volesse saperne di più sui tipi di attacchi che può subire un server Apache2 con SSL:
Vediamo adesso come proteggerci.
Per prima cosa aprire il file di configurazione del webserver che utilizza SSL e aggiungiamo la seguente riga:
SSLCompression offIn questo modo disattiviamo la compressione SSL e quindi si evitamo attacchi Crime.
Per evitare problemi di sicurezza relativi alle versioni 2 e 3 di SSL quello che si fa è abilitare solo la versione 1 con la seguente stringa:
SSLProtocol All -SSLv2 -SSLv3Infine vanno modificate le cifrature possibili…Diciamo che le ideali sono 2-3 ma purtroppo per rendere il sito retrocompatibile con IE e Windows è necessario abilitarne diverse:
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
Il gioco è fatto.
Salvare e verificare la configurazione di apache, se tutto è ok si può fare un restart:
#Controllo Config
apache2ctl -t
#Riavvio Apache
/etc/init.d/apache2 restartPer controllare il risultato:
https://www.ssllabs.com/ssltest/analyze.html?d=miodominio.it
Enjoy!
