OpenSSLは、最新のopenssl 1.1.0cを使用してOracleの脆弱性を補完します。

Question

まあ、あなたの好みに合わせてプロトコル、パスワード、その他の設定を調整する必要があります。また、プロトコルと暗号スイートを混在していますが、これはおそらく悪いでしょう。

デフォルトのSSL / TLS構成。www.cryptopp.com、私が助けているオープンソースプロジェクトです。 CentOS 7 VMで動作し、Qualsysテストで「A」を取得します。私たちの誰もApacheの専門家ではないので、構成をそのまま受け入れてください。私たちは、ユーザーが問題を経験しないように十分に努力していますが、それはすべてです。

一般的には、「TLS 1.0以降」（SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2）や「最新暗号スイート」（）などがSSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4必要です。これは!kRSA「RSA 鍵の送信なし」を意味し、これは Diffie-Hellman と順方向セキュリティを効果的に維持します。

この構成はSTSヘッダー（Strict-Transport-Security）も設定します。

# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https

SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog

SSLSessionCache         shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout  300

SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin

SSLCryptoDevice builtin

<VirtualHost *:443>
SSLEngine on

DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com

ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4

SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem

SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLVerifyClient none

Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"

</VirtualHost>

あなたもそうだと思います。いいえOpenSSL 1.1.0を使用してください。代わりに、以前のバージョンのFIPSを使用している可能性があります。以下は、同じCetOS 7 VMからのものです。

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

管理者はパッチをバックポートするので、あなたが知っているのは（1）1.0.1e頃から始まり、（2）現在持っているものが実際にはわからず、（3）Frekensteinのようなインストールがすでに行われているということです。一緒に。

Answer 1

まあ、あなたの好みに合わせてプロトコル、パスワード、その他の設定を調整する必要があります。また、プロトコルと暗号スイートを混在していますが、これはおそらく悪いでしょう。