Ubuntudanmark.dk SSLsikkerhedstjek: B grade (har svagheder)
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Ubuntudanmark.dk SSLsikkerhedstjek: B grade (har svagheder)
Det her er et tjek alle kan køre da ubuntudanmark.dk er en offentlig tilgængelig server, så derfor er det her indlæg offentligt.
Jeg bemærker at man ikke behøver at bruge den nævnte SSL sikkerhedstjek-service for at opdage svaghederne.
Tag et kig på: https://www.ssllabs.com/ssltest/analyze.html?d=ubuntudanmark.dk (Javascript skal være aktiveret)
Resultater for svagheder:
/Lars
Jeg bemærker at man ikke behøver at bruge den nævnte SSL sikkerhedstjek-service for at opdage svaghederne.
Tag et kig på: https://www.ssllabs.com/ssltest/analyze.html?d=ubuntudanmark.dk (Javascript skal være aktiveret)
Resultater for svagheder:
- SHA1withRSA er signatur algoritmen og den er svag. det kan fixes om lidt over ca 3 måneder, hvor certificatet udløber, og skal erstattet med et nyt. Brug SHA2 i stedet for SHA1.
- RC4 accepteres. Det bør ikke accepteres under nogen omstændigheder, da den meget nemt kan angribes, og det er endda uden at lave et MiTM (Man in The Middle) angreb:Bar Mitzvah attack actually exploits the "Invariance Weakness," the weak key pattern used in RC4 keys that can leak plain text data from the encrypted SSL/TLS traffic into the cipher text under certain conditions, potentially exposing account credentials, credit card data, or other sensitive information to hackers.
Citatet er fra denne artikel: 13-year-old SSL/TLS Weakness Exposing Sensitive Data in Plain Text http://thehackernews.com/2015/03/rc4-ssl-tls-security.html - Strict Transport Security (HSTS) kan være rart at have support for.
Det man skal er at man altid sender en HSTS HTTP response header.
Det fortæller en browser at den altid skal bruge https i stedet for http. Browseren vil derefter altid bruge https i stedet for http indtil udløbstidpunktet, hvilket er årsagen til at man altid sender den til browseren.
HSTS response headers er nyttigt til at holde brugernavn/kodeord hemmeligt, samt at sikre session cookien imod replay angreb over http.- Links:
- https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security
- https://blog.cloudflare.com/enforce-web-policy-with-hypertext-strict-transport-security-hsts/
- https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html
- RFC6797: http://tools.ietf.org/html/rfc6797
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
-
- Admin
- Indlæg: 20860
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: Ubuntudanmark.dk SSLsikkerhedstjek: B grade (har svaghed
Vi kender i admin gruppen til testen og status af vores server, B er ikke et kritisk lavt niveau, da vi pt. køre på en ældre debian er der en del opdateringer af SSL der ikke er tilgægnelig for os og det er der for ikke muligt at komme højere end til et B. Vores certifikat udbyder har heller ikke tidligere undersøttet SHA256 så der for har vi stadig et SHA1 signet certifikat.
Vi har ikke tænkt os at slå HSTS til før det bliver afgjort hvilken server vi skal køre på fremover.
Det er rigtig nok at RC4 bør deaktivetres, det er dog igen kun på B niveau, hvis du eventuelt kan byde ind med en passende chiper opsætnings streng til Apache 2 med mod_spdy skal jeg gerne indsætte den.
Vi har ikke tænkt os at slå HSTS til før det bliver afgjort hvilken server vi skal køre på fremover.
Det er rigtig nok at RC4 bør deaktivetres, det er dog igen kun på B niveau, hvis du eventuelt kan byde ind med en passende chiper opsætnings streng til Apache 2 med mod_spdy skal jeg gerne indsætte den.
-
- Forfatter
- Indlæg: 885
- Tilmeldt: 24. jul 2012, 21:33
- IRC nickname: Blueeyez
Re: Ubuntudanmark.dk SSLsikkerhedstjek: B grade (har svaghed
lidt OT.. Men smider jeg ubuntuesbjerg.dk igennem får jeg en test, men smider jeg ubuntudanmark.dk igennem, så viser den en rapport med det samme?
Hvordan kan det være? :S
Hvordan kan det være? :S
* Linux Ubuntu 16.04 64 bit - I3, 4 GB DDR3 1600Mhz, intel 7260AC dual band wifi, Samsung EVO 850 250 GB SSD. - Abook Z510
* Asustor nas: AS-202T, AS-202TE & AS-604T
https://linuxviden.dk
* Asustor nas: AS-202T, AS-202TE & AS-604T
https://linuxviden.dk
-
- Admin
- Indlæg: 20860
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: Ubuntudanmark.dk SSLsikkerhedstjek: B grade (har svaghed
Fordi den cacher resultater i et par dage
Hvem er online
Brugere der læser dette forum: [Bot] og 0 gæster