为了满足 PCI 合规性,我需要保护我们的服务器免受 BEAST 攻击。虽然我已经正确配置了 apache / openssl 设置以通过扫描,但这些设置有效地限制了可以在站点 https 端安全进行交易的客户端浏览器。
我们正在使用Centos 6.5 Final,OpenSSL 1.0.1e-fips 2013 年 2 月 11 日
我找不到有关如何更新或添加特定或所有密码到 OpenSSL 的任何信息。
问题一:密码套件是在 OpenSSL 程序中分发的还是密码套件附加组件?如果它们是附加组件,您如何更新它们?
问题2:如何手动更新到最新的 OpenSSL 版本?目前openssl-1.0.1i? (CentOS 声称它已经是最新的 - 但事实并非如此。)
答案1
问题 1:密码套件是在 OpenSSL 程序中分发的还是密码套件附加组件?如果它们是附加组件,您如何更新它们?
密码套件作为 OpenSSL 的一部分进行分发,因此您必须升级该软件包才能访问新的软件包。
问题2:如何手动更新到最新的OpenSSL版本?目前 openssl-1.0.1i ? (CentOS 声称它已经是最新的 - 但事实并非如此。)
您可以从 Fedora 存储库获取源 RPM 并在 CentOS 6.5 上构建它,也可以使用互联网上针对 CentOS 6.5 的预构建 RPM 之一。
我会选择后者,因为 CentOS 6.5 是一个相当大的安装基础,必须有其他人处理这个问题,使该软件包已经可用。
此外,您可能还想熟悉 Red Hat 使用 OpenSSL 完成的修复程序的向后移植。鉴于 CentOS 的血统,这些都包含在内。
摘自这个答案
针对 Heartbleed 漏洞的修复已由 Red Hat for Enterprise Linux 反向移植到 1.0.1e-16,因此这是 CentOS 发布的官方修复。
答案2
OpenSSL 是一组工具和库。提供 TLS 加密服务的应用程序使用这些库(除非它们使用 gnutls 或 Java 库,这也很常见)。
密码套件在这些库中实现。如果您需要更新的密码套件,则必须更新该库。如果您的操作系统存储库没有任何更新的内容,也许将存储库 URL 更改为替代站点或更高的操作系统版本也可以解决问题(我已经在 Debian 上成功做到了这一点),但我不知道这是否可以使用 CentOS 完成。当然,你也可以找到预编译的包或者自己编译。
如果您想限制 apache Web 服务器的密码,Apache 的 ssl.conf 就是您应该去的地方。另一方面,如果您想更改后缀的密码,则tls_high_cipherlist设置(与 结合使用smtp(d)_tls_mandatory_ciphers=high)就是您设置密码的位置。
将此配置应用程序(=服务)特定化确实有意义,因为对于一项服务来说被认为不安全的内容可能对于另一项服务来说仍然可以接受。