SSL instellingen, PCI certificering, meer overheidbeveiliging

De laatste tijd zijn er wat meer dicussies losgebarsten over SSL. Het lijkt erop alsof andere hostingproviders ook bedacht hebben dat ze leuk in het nieuws kunnen komen met de beveiligingsbandwagon. Heel goed! Hoe meer aandacht, hoe veiliger internet. Daar was ons netwerkitem natuurlijk voor bedoeld. (En natuurlijk een beetje aandacht voor Byte en de 1337ness van Byte :) )

Hier bijvoorbeeld een nogal academische discussie over de SSL cyphers en de sterkte van verschillende overheidsinstellingen:

AI! Da's een nare manier waarop een artikel terug kan ketsen :)


We waren al samen met onze partner Younify bezig om onze Magento installs via de McAfee scans door de certificering te laten komen en daarvoor hadden we al een aantal verbeteringen gevonden in onze SSL instellingen. Maar Bart Knubben van VKA wees ons er vandaag ook op dat je bij Byte ook met export cyphers kunt verbinden.

Daarom ben ik maar even bezig geweest met het uitzoeken van de verschillende Apache cyphers. Wij hadden staan:

ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:-SSLv2:-MD5:+EXP

Dat is natuurlijk nogal willekeurig en nogal open. Waarom nog SSLv2 en waarom geen EXPORT56 maar nog wel EXPORT40, wat mag door ALL? Nou, misschien omdat deze instellingen nog stammen uit de tijd dat we in 2001 de eerste SSL configuratie opzetten en omdat er niemand klaagde dat het te laks was :)

De nieuwe instellingen worden wellicht:

RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW:!MD5

Ja, dat lijkt nogal op het voorbeeld van de Apache docs, maar ik heb !MD5 toegevoegd, aangezien MD5 onder sommige omstandigheden gekraakt is. Dus geen SSLv2 meer, geen DSA meer, geen DES encryption meer, dus alles 128 bits en meer:

openssl ciphers -v 'RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW:!MD5'
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
AES128-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
RC4-SHA                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=SHA1

Dus van de week gaan we dit eens aanpakken. Natuurlijk moeten we het testen met een aantal browsers en zullen er een aantal browserspecifieke aanpassingen moeten worden gedaan. Ik stel voor om te testen met:

  • IE6, IE7, IE7
  • Firefox 3, Firefox 3.5
  • Opera, Opera mobiel
  • Konqueror
  • Safari

Zou genoeg moeten zijn :)

Bedankt Bart!

If you liked this post, say thanks by sharing it:
Posted on 8 August 2009 by Allard
This entry was posted in Techniek Microblog. Bookmark the permalink.