Re: SSL Anonymous Cipher Suites Supported

Fri, 02 Dec 2011 00:07:33 -0800 

Hallo Reindl,
das Problem ist Au=None

Das kann mit SSLCipherSuite behoben werden, wenn kann Au=None
verbietet mit !aNULL

Beispiel

SSLProtocol all -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite 
ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown

Diese Config ist auch imun gegen CVE-2011-3389 / beast attack. Hat
allerdings den Nachteil, dass im Grunde alle Clients "nur" 128 bit
Verschlüsselung nutzen und nicht mehr 256.

Gruß
Mario

2011/12/1 Reindl Harald <h.rei...@thelounge.net>:
> Hi
>
> Warum bekomme ich bei einem Scan eines Dienstleisters mit folgender
> Konfiguration den Report unten zurück?
> _________________________________________________________
>
> SSLEngine              On
> SSLProtocol            All -SSLv2
> SSLCipherSuite         HIGH
> SSLVerifyClient        Off
> SSLVerifyDepth         10
> _________________________________________________________
>
> mittleres Risiko [ TCP 443 ]: SSL Anonymous Cipher Suites Supported
> Das untersuchte System unterstützt anonyme SSL-Cipher. Dies ermöglicht einem 
> Administrator
> zwar, die SSL-Verschlüsselung zu verwenden, ohne ein Zertifikat zu beantragen 
> bzw. zu
> generieren, doch ist es einem Client so unmöglich, die Identität des Hosts zu 
> verifizieren. Dadurch
> sind Man-in-the-middle Angriffe auf solche Verbindungen möglich.
>
> Ausgabe:
> The remote server supports the following anonymous SSL ciphers :
> ADH-DES-CBC3-SHA
> ADH-DES-CBC3-SHA
> ADH-AES128-SHA
> ADH-AES256-SHA
> ADH-CAMELLIA128-SHA
> ADH-CAMELLIA256-SHA
> Kx=DH
> Kx=DH
> Kx=DH
> Kx=DH
> Kx=DH
> Kx=DH
> Au=None
> Au=None
> Au=None
> Au=None
> Au=None
> Au=None
> Enc=3DES(168)
> Mac=SHA1
> Enc=3DES(168)
> Mac=SHA1
> Enc=AES(128)
> Mac=SHA1
> Enc=AES(256)
> Mac=SHA1
> Enc=Camellia(128) Mac=SHA1
> Enc=Camellia(256) Mac=SHA1
> The fields above are :
> {OpenSSL ciphername}
> Kx={key exchange}
> Au={authentication}
> Enc={symmetric encryption method}
>
> --
>
> Reindl Harald
> the lounge interactive design GmbH
> A-1060 Vienna, Hofmühlgasse 17
> CTO / software-development / cms-solutions
> p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40
> icq: 154546673, http://www.thelounge.net/
>
> http://www.thelounge.net/signature.asc.what.htm
>

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de"
      unsubscribe-Anfragen an users-de-unsubscr...@httpd.apache.org
           sonstige Anfragen an users-de-h...@httpd.apache.org
--------------------------------------------------------------------------

Antwort per Email an