Aufgrund vieler Schwachstellen in den alten SSL Protokollen zuletzt Poodle als Kurzform für „Padding Oracle on Downgraded Legay Encrpytion“ wird es Zeit diese Schwachstelle zu eliminieren. Ziel ist es nur noch neue möglichst sichere Protokolle zu verwenden. Diese werden durch moderne Browser unterstützt.
Eine Warnung jedoch für alle Marketingexperten, weldche den größtmöglichen Zulauf für die Seite gewährleisten möchten: Es besteht die Gefahr einige User auszusperren, da es immer noch Nutzer gibt, welche alte ungepatchte Systeme besitzen und damit Brower, welche längst in den Ruhestand gehören
Konfiguration anpassen
Um die alten Protokolle abzuschalten und nur noch TLS in der Version 1.2 zu unterstützen ist nur die folgende Zeile eurer SSL Konfiguration hinzuzufügen:
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
Durch diese Änderung werden die alten Protokolle wie SSL2, SSL3, … deaktiviert und nur noch das neue TLS in der Version 1.2 verwendet. Im Rahmen einer einfache vollständigen Konfiguration könnte es wie folgt aussehen:
<VirtualHost *:443>
ServerName www.example.com
DocumentRoot /var/www/html
SSEngine on
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCertificateFile /etc/httpd/cert.pem
SSLCertificateKeyFile /etc/httpd/privkey.pem
</VirtualHost>
Apache Neustarten
Damit die Änderungen auch geladen werden, sollte nach der Codeänderung der Webser neu gestarten werden:
systemctl reload http
Konfiguration Testen
Um die Änderungen n zu testen könnt ihr zum Beispiel die folgende Seite verwenden und einen Test gegen eure URL anfragen:
* Kurz und übersichtlich https://netsense.ch/de-ssl-check/ssl-check
* Ausführlich: https://www.ssllabs.com/ssltest/index.html
Bei mir sagt die Seite zwar weiterhin, dass TSLv1.1 aktiviert ist, jedoch funktioniert die Poodle Attacke speziell nicht mehr. In anderen Varianten, wie in folgender Schreibweise, wurden deutlich mehr Schwachstellen angezeigt. Ggf. werde ich es noch einmal über die Konsole verifizieren, was tatsächlich alles möglich ist.
Bildnachweis:
- Cyber Crime von geralt Quelle: https://pixabay.com/photo-1862312/
- Ergebnisse: Screenshot von der Seite: https://netsense.ch/de-ssl-check/ssl-check
- Ergebnisse: Screenshot von der Seite: https://www.ssllabs.com/ssltest/analyze.html