Op 18-12-11 16:25, Jens Van Broeckhoven schreef: > Op Sun, 18 Dec 2011 15:19:57 +0100 > Paul van der Vlis <[email protected]> schreef: > >> Hallo, >> >> SSLlabs zegt dat de Debian stable servers die ik beheer kwetsbaar zijn >> voor de "beast attack". Heeft hier iemand al eens uitgezocht wat dat >> nu precies is, en hoe ernstig dat is? Zijn er ook mensen die Apache >> zo ver gekregen hebben dat die kwetsbaarheid er uit is? >> >> Als ik het eerste advies op onderstaande site uitvoer dan ben ik nog >> steeds kwetsbaar volgens SSLlabs. En het tweede advies is niet >> eenvoudig realiseerbaar, omdat er voor Debian stable geen TLS 1.2 >> libraries beschikbaar zijn voor zover ik weet. >> >> Groet, >> Paul. >> >> https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls >> https://www.ssllabs.com/ssldb/analyze.html?d=sogo.vandervlis.nl >> > > Hoi. > > TLS 1.2 is enkel een optie indien alles aan client zijde compatibel is. > > Die RC4 cipher is niet perfect maar wel beter dan niets. > Met Apache geeft dat zoiets: > > SSLProtocol TLSv1 > SSLHonorCipherOrder On > SSLCipherSuite RC4-SHA:HIGH:!kEDH > > Zie: > http://feeding.cloud.geek.nz/2011/11/ideal-openssl-configuration-for-apache.html
Ook met deze configuratie ben je nog steeds kwetsbaar volgens ssl labs. Dus vandaar mijn vraag hoe ernstig dat nu eigenlijk is. Groet, Paul. -- Paul van der Vlis Linux systeembeheer, Groningen http://www.vandervlis.nl -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
