Re: Apache 2, TLS-Debakel

Thu, 29 Sep 2011 07:55:24 -0700 

On 29.09.2011 16:37, Reindl Harald wrote:
> 
> 
> Am 29.09.2011 16:31, schrieb Rainer Sokoll:
>> Hallo,
>> 
>> rein interessehalber: Wie geht ihr damit um? Ich meine jetzt
>> nicht Comodo, Diginotar, sondern das hier: 
>> http://www.heise.de/newsticker/meldung/Tool-soll-SSL-Cookies-in-zehn-Minuten-knacken-1346257.html
>>
>> 
Ich habe mir jetzt mal den letzten Snapshot von openssl-1.0.1-dev
>> übersetzt mit enable-tlsext, weiß aber nicht so recht, wie ich
>> nun weitermachen sollte. Ich möchte mal testen, ob ich auf meinem
>> Apachen TLS 1.1 erzwingen kann, weiß aber nicht wie.
>> Möglicherweise ist openssl ja auch der steinige Weg, und ich
>> sollte GNUTLS verwenden?
>> 
>> Wie geht ihr damit um? Ignorieren?
> 
> Die Devel-Mailingliste abbonieren und warten was Upstream passiert 
> Da ist erst vor wenigen Minuten was zum Thema gekommen

Das war dann wohl ich ...

Soweit ich sehe gibt es noch keine richtig gute Lösung. Was leicht und
robust geht, ist dem Client eine Cipher zu empfehlen, die gegen die
Attacke nicht anfällig ist, also kein CBC verwendet.

Beispiel:

SSLCipherSuite RC4-SHA:AES128-SHA:ALL:!aNULL:!EXP:!LOW:!MD5:!SSLV2:!NULL
SSLHonorCipherOrder on

Die zweite Direktive sagt dem Client er soll eine Cipher wählen, die
in der ersten Liste möglichst weit vorne steht. Unterstützt der Client
dieses Feature (ist wohl Standard bei SSLv3 und TLSv1 und z.B.in
OpenSSL seit 0.9.7 drin) und kann er RC4-SHA, dann wählt er die Cipher
RC4, welche wohl kein CBC verwendet, also nicht anfällig ist. Die
nächste Cipher, AES128-SHA ist übrigens eine CBC Cipher, also anfällig.

Damit wird zwar nicht immer erzwungen, dass Clients nur noch sicher
kommunizieren, die meisten Clients sollten aber das Verfahren
unterstützen und damit - nach dem was wir aktuell wissen - sicher
kommunizieren.

Grüße von Rainer zu Rainer sendet

Rainer

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscr...@httpd.apache.org
           sonstige Anfragen an users-de-h...@httpd.apache.org
--------------------------------------------------------------------------

Antwort per Email an