Information Security

Posts 1-1 of 1

Michaela Merz Premium Member Group moderator
The company name is only visible to registered members.

30 Sep 2011, 1:07 pm

Tame the BEAST

Wie Ihr sicher schon alle mitbekommen habt, ist der CBC im SSL/TLS unter Umständen kompromittiert. Da leider viele (die meisten) Dienste sehr von SSL/TLS abhängig sind, (kann ja nicht jeder closeXchange verwenden) hier ein Tip um das BEAST von dem eigenen Web-Dienst fernzuhalten:

A) mod_ssl gegen mod_gnutls austauschen und TLS 1.1 aktivieren. Das hilft z.B. aktuellen Internet-Explorern und Opera-Browsern (ggf. muss explizit TLS 1.1 in den Browsern aktiviert werden)

B) Alle anfälligen CBC Modi verbieten:

Unter mod_ssl

SSLHonorCipherOrder on
SSLCipherSuite !aNULL:!eNULL:!EXPORT:!DSS:!DES:RC4-SHA:RC4-MD5:ALL

Unter mod_gnutls

GnuTLSPriorities NONE:+VERS-TLS1.0:+ARCFOUR-128:+RSA:+SHA1:+COMP-NULL

Ich habe das allerdings nur mit GNUtls getestet (http://www.closexchange.com) , sollte aber auch unter mod_ssl funktionieren.

Anregungen? Kritik?

Ciao

mm.
Michaela Merz wrote: > Wie Ihr sicher schon alle mitbekommen habt, ist der CBC im SSL/TLS > unter Umständen kompromittiert. Da leider viele (die meisten) Dienste > sehr von SSL/TLS abhängig sind, (kann ja nicht jeder closeXchange > verwenden) hier ein Tip um das BEAST von dem eigenen Web-Dienst > fernzuhalten: > > A) mod_ssl gegen mod_gnutls austauschen und TLS 1.1 aktivieren. Das > hilft z.B. aktuellen Internet-Explorern und Opera-Browsern (ggf. muss > explizit TLS 1.1 in den Browsern aktiviert werden) > > B) Alle anfälligen CBC Modi verbieten: > > Unter mod_ssl > > SSLHonorCipherOrder on > SSLCipherSuite !aNULL:!eNULL:!EXPORT:!DSS:!DES:RC4-SHA:RC4-MD5:ALL > > Unter mod_gnutls > > GnuTLSPriorities NONE:+VERS-TLS1.0:+ARCFOUR-128:+RSA:+SHA1:+COMP-NULL > > Ich habe das allerdings nur mit GNUtls getestet > (www.closexchange.com) , sollte aber auch unter mod_ssl funktionieren. > > Anregungen? Kritik? > > Ciao > > mm.

Information Security

Tame the BEAST