Отключить поддержку шифров 3des linux

Disable 3DES SSL Ciphers in Apache or nginx

There exists a long list of SSL/TLS ciphers that should be avoided for a proper HTTPS implementation. You can find a near-ideal config for high-security TLS 1.0/1.1/1.2 at cipherli.st. This will get you 90%+ of the way towards a well-configured setup.

However, neither the cipher suites specified at cipherli.st nor the Qualys SSL Test flags CBC-mode 3DES ciphers. These ciphers may be vulnerable to CVE-2016-2183, aka the “Sweet32” attack.

OpenVAS has only recently started flagging these ciphers. Blocking them is quite simple and will only affect the oldest of web browsers, which are inherently insecure without upgrading anyways. Triple DES is a relatively old cipher that has several vulnerabilities published in the last 18 years. Although it used to be a government standard for encryption, it should no longer be used.

Disabling all 3DES ciphers in nginx is easy. You can find where your ciphers are defined by running the following command (assuming your config files are in /etc/nginx/):

grep -r «ssl_ciphers» /etc/nginx/

Once you’ve found the file in question, make sure your cipher list contains ‘!3DES’. For example, as of November 2nd, 2016, this is the cipher list I have chosen to use.

ssl_ciphers ‘ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA: !3DES ‘;

Disabling 3DES ciphers in Apache is about as easy too. Find where your ciphers are defined with the following command (again, presuming your Apache config is in /etc/httpd/):

Читайте также:  Linux добавить swap файл

grep -r «SSLCipherSuite» /etc/httpd/

Once you’ve found the file containing your cipher suite, make sure it contains ‘!3DES’. As of today, this is a suitable list:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES128-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA128:DHE-RSA-AES128-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA128:ECDHE-RSA-AES128-SHA384:ECDHE-RSA-AES128-SHA128:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA384:AES128-GCM-SHA128:AES128-SHA128:AES128-SHA128:AES128-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4: !3DES

For both Apache and nginx, after changing your cipher suite, test your config (httpd -t or nginx -t) and restart the service in question.

Linux® is the registered trademark of Linus Torvalds in the U.S. and other countries. Magento® is the registered trademark of Magento, Inc. The presence of these trademarks is for illustrative purposes only and does not represent any sponsorship, endorsement, or affiliation with Linus Torvalds or Magento, Inc.
The views and opinions expressed on this site are entirely my own and do not represent my employer, Linus Torvalds, or Magento, Inc. All content is licensed CC BY-SA 2.0 unless otherwise indicated.

Источник

Как отключить шифры DES и 3DES на Oracle WebLogic Server Node Manager Port(5556) в сервере Red hat linux

Как отключить шифры DES и 3DES на Oracle WebLogic Server Node Manager Port(5556) в Red hat linux server. Я пробовал многие решения, но они не работают так, как ожидалось. Вот мой код SSLCipherSuite в файле ssl.conf.

SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,!aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES

Удалите шифры SSL_RSA_WITH_3DES_EDE_CBC_SHA и SSL_RSA_WITH_DES_CBC_SHA из списка шифров. Вы также должны удалить SSL_RSA_WITH_RC4_128_MD5 и SSL_RSA_WITH_RC4_128_SHA из списка, так как они оба считаются небезопасными. Я не верю, что вы получите какую-либо пользу от спецификаций !aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES , если вы перечисляете отдельные шифры.

Если ваш сервер доступен через Интернет, подумайте о том, чтобы запустить SSLLabs Analysis на вашем сервере. Если нет, вы можете использовать nmap -script ssl-enum-ciphers для проверки вашей конфигурации.

Читайте также:  How to install packages in linux mint

Вы можете рассмотреть возможность использования TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 и TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA. Однако у Java была проблема с этими шифрами, из-за которой 1 из 256 соединений с хостами, соответствующими стандартам, оказывалось неудачным. Это должно быть исправлено в последнем выпуске.

Вы должны быть в состоянии установить безопасный набор шифров, добавив шифры в командную строку Java. (Используйте только последний шифр, если вы не используете последнюю версию Java).

-Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA

Если вы хотите использовать 256-битное шифрование, продублируйте каждый шифр по порядку и измените 128 на 256 в одном из дубликатов. Кажется, что нет веских причин использовать 256 бит, и есть сообщения о том, что использование 256 бит может привести к некоторым временным атакам.

Источник

Как отключить шифрование DES и 3DES на порту диспетчера узлов сервера Oracle WebLogic (5556) на сервере Red Hat linux

Как отключить шифры DES и 3DES на порту диспетчера узлов сервера Oracle WebLogic (5556) на сервере Red Hat linux. Я пробовал со многими решениями, но не работал должным образом. Вот мой код SSLCipherSuite в файле ssl.conf.

SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,!aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES 

Удалите шифры SSL_RSA_WITH_3DES_EDE_CBC_SHA и SSL_RSA_WITH_DES_CBC_SHA из вашего списка шифров. Вам также следует удалить из списка SSL_RSA_WITH_RC4_128_MD5 и SSL_RSA_WITH_RC4_128_SHA , поскольку они оба считаются небезопасными. Я не верю, что вы получите какую-либо пользу от спецификаций ! ANULL,! ENULL,! LOW,! MD5,! EXP,! PSK,! SRP,! DSS,! RC4,! 3DES , если вы перечисление отдельных шифров.

Если ваш сервер доступен в Интернете, рассмотрите возможность запуска SSLLabs Analysis на вашем сервере. Если нет, вы можете использовать nmap –script ssl-enum-ciphers для проверки вашей конфигурации.

Вы можете рассмотреть возможность использования TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 и TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA. Однако у Java была проблема с этими шифрами, из-за которой 1 из 256 соединений с хостами, соответствующими стандартам, терпели неудачу. Это должно быть исправлено в последней версии.

Читайте также:  Linux fdisk linux lvm

У вас должна быть возможность установить безопасный набор шифров, добавив шифров в свою командную строку Java. (Используйте только последний шифр, если вы не используете последнюю версию Java.)

-Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA 

Если вы хотите использовать 256-битное шифрование, дублируйте каждый шифр по порядку и измените 128 на 256 в одном из дубликатов. Кажется, нет веских причин использовать 256 бит, и есть сообщения, что использование 256 бит может позволить некоторые атаки по времени.

Источник

Disable 3DES SSL Ciphers in Apache on Centos 7

A very popular Web Site Security Audit tool I use to keep track of vulnerabilities as they develop on my website is a service called ScanMyServer. It’s a useful yet inexpensive online tool that does exactly what it promises. It automatically scans a website and emails a full security report that includes a score and letter grade based on the results.

A recent discovery the tool picked up was a weak cipher alert:
Sweet32 Birthday Attacks on 64-bit Block Ciphers in TLS and OpenVPN (DES-CBC3)

Summary

This test detects SSL ciphers DES-CBC3 supported by the remote service for encrypting communications.

Solution

Disable 3DES SSL Ciphers in Apache

Disabling 3DES ciphers in Apache is about as easy too. Find where your ciphers are defined with the following command (again, presuming your Apache config is in /etc/httpd/):

Once you’ve found the file containing your cipher suite, make sure it contains ‘!3DES’. As of today, this is a suitable list:

 SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES128-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA128:DHE-RSA-AES128-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA128:ECDHE-RSA-AES128-SHA384:ECDHE-RSA-AES128-SHA128:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA384:AES128-GCM-SHA128:AES128-SHA128:AES128-SHA128:AES128-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!3DES 

After changing your cipher suite, test your config (httpd -t) and restart the service in question (service httpd restart).

Источник

Оцените статью
Adblock
detector