Apache2 SSL ein wenig härten – Poodle/RC4
In Ubuntu 12.04 ist das SSL Module vom Apache2 etwas locker eingestellt. Da in der Zwischenzeit im SSLv3 Protokol der Poodle Hack aufgetaucht und veröffentlicht wurde, sollte das SSLv3 Protokoll abgeschaltet werden.
Der weiteren ist der RC4 Hack aufgetaucht, der einen Fehler im TLS1 Protokol ausnutzt. Hier können über die SSLCipherSuite Einstellungen, die Protokolle so eingegrenzt werden, dass die betroffen abgeschaltet werden.
Härte Deine Apache2 SSL Konfiguration
Die Einstellungen findet Ihr in der /etc/apache2/mods-available/ssl.conf
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
Eine Überprüfung der SSLCipherSuite Einstellungen, kann über die Konsole erfolgen:
openssl ciphers -v 'ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS'
Überprüfe Deine Apache2 SSL Serverkonfiguration
Um die Zertifikatseinstellungen zu überprüfen, empfehle ich Euch unter anderen den CryptoReport von Thawte.
Links zum Thema SSL und TLS
Hier noch ein paar interessante Links zum Thema SSL