Ubuntudanmark.dk SSLsikkerhedstjek: B grade (har svagheder)

[lath]

Det her er et tjek alle kan køre da ubuntudanmark.dk er en offentlig tilgængelig server, så derfor er det her indlæg offentligt.
Jeg bemærker at man ikke behøver at bruge den nævnte SSL sikkerhedstjek-service for at opdage svaghederne.

Tag et kig på: https://www.ssllabs.com/ssltest/analyze.html?d=ubuntudanmark.dk (Javascript skal være aktiveret)

Resultater for svagheder:

• SHA1withRSA er signatur algoritmen og den er svag. det kan fixes om lidt over ca 3 måneder, hvor certificatet udløber, og skal erstattet med et nyt. Brug SHA2 i stedet for SHA1.
• RC4 accepteres. Det bør ikke accepteres under nogen omstændigheder, da den meget nemt kan angribes, og det er endda uden at lave et MiTM (Man in The Middle) angreb:
  

  Bar Mitzvah attack actually exploits the "Invariance Weakness," the weak key pattern used in RC4 keys that can leak plain text data from the encrypted SSL/TLS traffic into the cipher text under certain conditions, potentially exposing account credentials, credit card data, or other sensitive information to hackers.
  

  
  Citatet er fra denne artikel: 13-year-old SSL/TLS Weakness Exposing Sensitive Data in Plain Text http://thehackernews.com/2015/03/rc4-ssl-tls-security.html
• Strict Transport Security (HSTS) kan være rart at have support for.
  Det man skal er at man altid sender en HSTS HTTP response header.
  Det fortæller en browser at den altid skal bruge https i stedet for http. Browseren vil derefter altid bruge https i stedet for http indtil udløbstidpunktet, hvilket er årsagen til at man altid sender den til browseren.
  HSTS response headers er nyttigt til at holde brugernavn/kodeord hemmeligt, samt at sikre session cookien imod replay angreb over http.
  
  Links:
  
  • https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security
  • https://blog.cloudflare.com/enforce-web-policy-with-hypertext-strict-transport-security-hsts/
  • https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html
  • RFC6797: http://tools.ietf.org/html/rfc6797

/Lars

[AJenbo]

Vi kender i admin gruppen til testen og status af vores server, B er ikke et kritisk lavt niveau, da vi pt. køre på en ældre debian er der en del opdateringer af SSL der ikke er tilgægnelig for os og det er der for ikke muligt at komme højere end til et B. Vores certifikat udbyder har heller ikke tidligere undersøttet SHA256 så der for har vi stadig et SHA1 signet certifikat.

Vi har ikke tænkt os at slå HSTS til før det bliver afgjort hvilken server vi skal køre på fremover.

Det er rigtig nok at RC4 bør deaktivetres, det er dog igen kun på B niveau, hvis du eventuelt kan byde ind med en passende chiper opsætnings streng til Apache 2 med mod_spdy skal jeg gerne indsætte den.

[Blueeyez]

lidt OT.. Men smider jeg ubuntuesbjerg.dk igennem får jeg en test, men smider jeg ubuntudanmark.dk igennem, så viser den en rapport med det samme?
Hvordan kan det være? :S

[AJenbo]

Fordi den cacher resultater i et par dage