Совершенная прямая секретность в стандартной установке Ubuntu 14.04

Question 1

Ubuntu 14.04 поддерживает и включает шифры совершенной прямой секретности в конфигурации TLS по умолчанию серверов, такие как nginx, голубятня и постфикс?

Предыдущим версиям Ubuntu такой как 12,04 даже не скомпилировали необходимые шифры в (см. LP#1197884 или Как включить TLS 1.2 в Nginx?).

Question 2

Нет. Но это вызвано тем, что это не до Ubuntu, чтобы поддерживать или включить. Это до соответствующего программного обеспечения для поддержки this.e

, для которого у Вас должны быть следующие строки в Вашей конфигурации...

голубятня Apache

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

Nginx

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
ssl_prefer_server_ciphers = yes

Постфикс

#the dh params
smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
#enable ECDH
smtpd_tls_eecdh_grade = strong
#enabled SSL protocols, don't allow SSLv2
smtpd_tls_protocols= !SSLv2
smtpd_tls_mandatory_protocols= !SSLv2
#allowed ciphers for smtpd_tls_security_level=encrypt
smtpd_tls_mandatory_ciphers = high
#allowed ciphers for smtpd_tls_security_level=may
#smtpd_tls_ciphers = high
#enforce the server cipher preference
tls_preempt_cipherlist = yes
#disable following ciphers for smtpd_tls_security_level=encrypt
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
#disable following ciphers for smtpd_tls_security_level=may
#smtpd_tls_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
#enable TLS logging to see the ciphers for inbound connections
smtpd_tls_loglevel = 1
#enable TLS logging to see the ciphers for outbound connections
smtp_tls_loglevel = 1

существуют некоторые системные требования и другие параметры конфигурации. Больше в 2 ссылках:

Question 3

Question 4

Да, все поддерживали поставку выпусков Ubuntu с OpenSSL 1.0.1 +, и большая часть программного обеспечения связана против OpenSSL для безопасности TLS.

Имеют в виду, что надлежащий сервер TLS может быть сложным для установки правильно. Некоторые быстрые общие рекомендации.

Серверная сторона ciphersuite упорядочивание

значение по умолчанию ciphersuite OpenSSL включает поддержку PFS, но не располагает по приоритетам это на уровне квитирования. Также приложение может иметь их собственное значение по умолчанию ciphersuite устанавливающий для инициализации OpenSSL с.

Проверка регулярно на новые рекомендации

Всегда устанавливала Ваши собственные ciphersuite/protocol настройки на современные рекомендации. Время от времени уязвимости найдены и могут уменьшить безопасность, если все еще используется. Например, RC4 должен быть отключен, но два года назад рекомендовалось расположить по приоритетам это для нападения ЗВЕРЯ тогда. Это было исправлено в OpenSSL спустя недели после этого, но люди продолжают использовать RC4...: (

Создают параметрические усилители DH!

кроме того, никогда не забывайте создавать параметры DH, или иначе PFS не будет использоваться для non-ECDHE ciphersuites! Это - частые ошибки, которые я вижу с людьми вокруг меня. OpenSSL будет инициализирован без параметрических усилителей DH прежней версии и приводящий к отсутствию PFS для non-ECDHE клиентов.

Следуют актуальным рекомендациям

, Эта страница Wiki, управляемая службой безопасности Mozilla, сохраняет список простых инструкций и причин их рекомендаций.

https://wiki.mozilla.org/Security/Server_Side_TLS

Очень рекомендовал следовать за этим!

Проверка онлайн

Использование, например, тест Labs SSL Qualys: https://www.ssllabs.com/ssltest / и развивают рекомендации. Это очень выполнимо для получения + счет.

Question 5

Да, Ubuntu 14.04 поддерживает Вперед безопасность по умолчанию.

конфигурация по умолчанию позволяет клиенту решить, разрешить ли его. Chrome, Firefox и Safari запросят его.

Wernight · Answer 1 · 3 December 2019 в 06:26

Нет. Но это вызвано тем, что это не до Ubuntu, чтобы поддерживать или включить. Это до соответствующего программного обеспечения для поддержки this.e

, для которого у Вас должны быть следующие строки в Вашей конфигурации...

голубятня Apache

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

Nginx

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
ssl_prefer_server_ciphers = yes

Постфикс

#the dh params
smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
#enable ECDH
smtpd_tls_eecdh_grade = strong
#enabled SSL protocols, don't allow SSLv2
smtpd_tls_protocols= !SSLv2
smtpd_tls_mandatory_protocols= !SSLv2
#allowed ciphers for smtpd_tls_security_level=encrypt
smtpd_tls_mandatory_ciphers = high
#allowed ciphers for smtpd_tls_security_level=may
#smtpd_tls_ciphers = high
#enforce the server cipher preference
tls_preempt_cipherlist = yes
#disable following ciphers for smtpd_tls_security_level=encrypt
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
#disable following ciphers for smtpd_tls_security_level=may
#smtpd_tls_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
#enable TLS logging to see the ciphers for inbound connections
smtpd_tls_loglevel = 1
#enable TLS logging to see the ciphers for outbound connections
smtp_tls_loglevel = 1

существуют некоторые системные требования и другие параметры конфигурации. Больше в 2 ссылках:

gertvdijk · Answer 2 · 3 December 2019 в 06:26

Да, все поддерживали поставку выпусков Ubuntu с OpenSSL 1.0.1 +, и большая часть программного обеспечения связана против OpenSSL для безопасности TLS.

Имеют в виду, что надлежащий сервер TLS может быть сложным для установки правильно. Некоторые быстрые общие рекомендации.

Серверная сторона ciphersuite упорядочивание

значение по умолчанию ciphersuite OpenSSL включает поддержку PFS, но не располагает по приоритетам это на уровне квитирования. Также приложение может иметь их собственное значение по умолчанию ciphersuite устанавливающий для инициализации OpenSSL с.

Проверка регулярно на новые рекомендации

Всегда устанавливала Ваши собственные ciphersuite/protocol настройки на современные рекомендации. Время от времени уязвимости найдены и могут уменьшить безопасность, если все еще используется. Например, RC4 должен быть отключен, но два года назад рекомендовалось расположить по приоритетам это для нападения ЗВЕРЯ тогда. Это было исправлено в OpenSSL спустя недели после этого, но люди продолжают использовать RC4...: (

Создают параметрические усилители DH!

кроме того, никогда не забывайте создавать параметры DH, или иначе PFS не будет использоваться для non-ECDHE ciphersuites! Это - частые ошибки, которые я вижу с людьми вокруг меня. OpenSSL будет инициализирован без параметрических усилителей DH прежней версии и приводящий к отсутствию PFS для non-ECDHE клиентов.

Следуют актуальным рекомендациям

, Эта страница Wiki, управляемая службой безопасности Mozilla, сохраняет список простых инструкций и причин их рекомендаций.

https://wiki.mozilla.org/Security/Server_Side_TLS

Очень рекомендовал следовать за этим!

Проверка онлайн

Использование, например, тест Labs SSL Qualys: https://www.ssllabs.com/ssltest / и развивают рекомендации. Это очень выполнимо для получения + счет.

Collin Anderson · Answer 3 · 3 December 2019 в 06:26

Да, Ubuntu 14.04 поддерживает Вперед безопасность по умолчанию.

конфигурация по умолчанию позволяет клиенту решить, разрешить ли его. Chrome, Firefox и Safari запросят его.

Совершенная прямая секретность в стандартной установке Ubuntu 14.04

3 ответа

Серверная сторона ciphersuite упорядочивание

Проверка регулярно на новые рекомендации

Создают параметрические усилители DH!

Следуют актуальным рекомендациям

Проверка онлайн

Другие вопросы по тегам:

Похожие вопросы: