Linux Redhatサーバーでセキュリティチェックを実行したところ、次の脆弱性が発生しました。
SSL対応サーバーは、中間強度のSSL暗号化証明書/パスワードをサポートします。
httpd.conf ファイルに次のパスワードを追加します。
SSLCipherSpec 3A
SSLCipherSpec 2F
SSLCipherSpec 35b
SSLCipherSpec 35
SSLCipherSpec 34
これは次の略語です。
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
プロトコルを無効にする行もあります。
SSLProtocolDisable SSLv2 SSLv3
その後、httpdを再起動して別のスキャンを実行しましたが、脆弱性はそのまま残りました。私がここで何を見逃しているのでしょうか?
ベストアンサー1
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA ... SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
今日、RC4パスワードは弱いパスワードと見なされています。 3DESでも再利用しない方が最善です。私は以下をお勧めしますMozillaでおすすめサーバーを正しく構成してください。