On 29.09.2011 16:37, Reindl Harald wrote: > > > Am 29.09.2011 16:31, schrieb Rainer Sokoll: >> Hallo, >> >> rein interessehalber: Wie geht ihr damit um? Ich meine jetzt >> nicht Comodo, Diginotar, sondern das hier: >> http://www.heise.de/newsticker/meldung/Tool-soll-SSL-Cookies-in-zehn-Minuten-knacken-1346257.html >> >> Ich habe mir jetzt mal den letzten Snapshot von openssl-1.0.1-dev >> übersetzt mit enable-tlsext, weiß aber nicht so recht, wie ich >> nun weitermachen sollte. Ich möchte mal testen, ob ich auf meinem >> Apachen TLS 1.1 erzwingen kann, weiß aber nicht wie. >> Möglicherweise ist openssl ja auch der steinige Weg, und ich >> sollte GNUTLS verwenden? >> >> Wie geht ihr damit um? Ignorieren? > > Die Devel-Mailingliste abbonieren und warten was Upstream passiert > Da ist erst vor wenigen Minuten was zum Thema gekommen
Das war dann wohl ich ... Soweit ich sehe gibt es noch keine richtig gute Lösung. Was leicht und robust geht, ist dem Client eine Cipher zu empfehlen, die gegen die Attacke nicht anfällig ist, also kein CBC verwendet. Beispiel: SSLCipherSuite RC4-SHA:AES128-SHA:ALL:!aNULL:!EXP:!LOW:!MD5:!SSLV2:!NULL SSLHonorCipherOrder on Die zweite Direktive sagt dem Client er soll eine Cipher wählen, die in der ersten Liste möglichst weit vorne steht. Unterstützt der Client dieses Feature (ist wohl Standard bei SSLv3 und TLSv1 und z.B.in OpenSSL seit 0.9.7 drin) und kann er RC4-SHA, dann wählt er die Cipher RC4, welche wohl kein CBC verwendet, also nicht anfällig ist. Die nächste Cipher, AES128-SHA ist übrigens eine CBC Cipher, also anfällig. Damit wird zwar nicht immer erzwungen, dass Clients nur noch sicher kommunizieren, die meisten Clients sollten aber das Verfahren unterstützen und damit - nach dem was wir aktuell wissen - sicher kommunizieren. Grüße von Rainer zu Rainer sendet Rainer -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an users-de-unsubscr...@httpd.apache.org sonstige Anfragen an users-de-h...@httpd.apache.org --------------------------------------------------------------------------