RHEL 4で実行されているApache 2.0のBEAST脆弱性の修正

サーバーレベルでBEASTを「修正」する方法は2つしかありません。

最善のオプションは、サーバーのSSLライブラリをTLS v1.1以降をサポートするものにアップグレードすることです（クライアントがそれもサポートしていることを確認して、強制的に使用できるようにします）。

もう1つのオプションは、CBC（Cypher-Block-Chaining）暗号化アルゴリズムを無効にし、ECB（Electronic Code Book）暗号またはRC4（ECBアルゴリズムは理論的には「安全性が低い」です。キーは常に同じ暗号文にマッピングされるため、既知の平文攻撃で簡単に破ることができますが、実際には、これは大きな問題にはなりません。Google（例として）はまだRC4を使用しています）。

あなたが実行しているサーバーは死んでいて、埋もれていて、これを分解することは、パッチを当てたApacheをビルドするのに必要な労力の価値がないので（ApacheとOpenSSLを分離して再ビルドする必要があります。 OpenSSLのバージョンがシステムにデフォルトでインストールされている必要があります-これだけ多くの作業を行っている場合は、システム全体を実際にサポートされているものにアップグレードすることもできます）。そのため、「ECBサイファーへの切り替え」はほとんど不要です。あなたの実行可能なソリューション。

BEASTは最近の攻撃の真っ只中です- すべての人気のあるブラウザ（IE、Chrome、Safari、Opera）は効果的な回避策を実装しています 、そして way攻撃は機能します ブラウザの外で実装するのはかなり難しいです（aptとyumはまだかなり安全です）。

GoogleのAdam Langleyが今年初めに素晴らしい講演を行いました これは、re：SSLとセキュリティに集中すべきいくつかの問題点の概要です-BEASTが言及を獲得しましたが、リストの一番下にありました気になることの数々。

Ssllabs.comテストに合格する唯一の解決策は、Apache httpd.confファイルとssl.confファイルに次の4行を追加することです。

SSLHonorCipherOrder On

SSLProtocol -all + TLSv1 + SSLv3

SSLCipherSuite RC4-SHA：HIGH：！MD5：！aNULL：！EDH：！ADH

SSLInsecureRenegotiationオフ

これらの設定がssl.confファイルに2回投稿されていないことを確認してください。

現在、私のサイトはAで合格しています。