Op Sun, 18 Dec 2011 15:19:57 +0100 Paul van der Vlis <[email protected]> schreef:
> Hallo, > > SSLlabs zegt dat de Debian stable servers die ik beheer kwetsbaar zijn > voor de "beast attack". Heeft hier iemand al eens uitgezocht wat dat > nu precies is, en hoe ernstig dat is? Zijn er ook mensen die Apache > zo ver gekregen hebben dat die kwetsbaarheid er uit is? > > Als ik het eerste advies op onderstaande site uitvoer dan ben ik nog > steeds kwetsbaar volgens SSLlabs. En het tweede advies is niet > eenvoudig realiseerbaar, omdat er voor Debian stable geen TLS 1.2 > libraries beschikbaar zijn voor zover ik weet. > > Groet, > Paul. > > https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls > https://www.ssllabs.com/ssldb/analyze.html?d=sogo.vandervlis.nl > Hoi. TLS 1.2 is enkel een optie indien alles aan client zijde compatibel is. Die RC4 cipher is niet perfect maar wel beter dan niets. Met Apache geeft dat zoiets: SSLProtocol TLSv1 SSLHonorCipherOrder On SSLCipherSuite RC4-SHA:HIGH:!kEDH Zie: http://feeding.cloud.geek.nz/2011/11/ideal-openssl-configuration-for-apache.html -- Jens Van Broeckhoven -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
