Google+

jueves, 14 de junio de 2012

Mitigar el ataque BEAST en Apache


Ante la vulnerabilidad que existe en el protocolo SSL y TLS 1.0 con el código de vulnerabilidad CVE-2011-3389 he decido buscar como mitigarlo, así que explico un poco los pasos. Como requisito principal he actualizado mi versión de OpenSSL a la versión 1.0.1c para poder tener soporte TLS 1.2 y TLS 1.1.


He recompilado Apache con el cambio de OpenSSL y he cambiado estas directivas:
SSLProtocol -ALL +SSLv3 +TLSv1.1 +TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
Y con esto es suficiente. Para probarlo recomiendo usar Opera como navegador, ya que nos proporciona bastante info.

En Opera:
Herramientas > Opciones > Avanzado > Seguridad > Protocolos de seguridad
Y activar TLS 1.1 y TLS 1.2.
Cerramos el navegador y lo volvemos a abrir, entramos en la url de nuestro servidor web y
Herramientas > Avanzado > Info seguridad en página.

Y veremos que protocolo se esta usando, en concreto con mi configuración:
TLS v1.0 128 bit ARC4 (2048 bit RSA/SHA)
Como opción web podemos usar esta pagina para comprobar nuestra seguridad:

https://www.ssllabs.com/ssltest/index.html

Al final el resultado final debe de ser este: