Executei uma verificação de segurança em um servidor Linux Redhat e ele mostrou a seguinte vulnerabilidade:
O servidor habilitado para SSL oferece suporte a certificados/cifras de criptografia SSL de força média
No arquivo httpd.conf eu adiciono as seguintes cifras:
SSLCipherSpec 3A
SSLCipherSpec 2F
SSLCipherSpec 35b
SSLCipherSpec 35
SSLCipherSpec 34
quais são os nomes curtos para:
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
Havia também uma linha com os protocolos desabilitados:
SSLProtocolDisable SSLv2 SSLv3
depois disso, reiniciei o httpd e executei outra varredura, mas a vulnerabilidade ainda está lá. O que estou perdendo aqui?
As cifras RC4 são consideradas fracas hoje. Mesmo o 3DES não deveria mais ser usado. Recomendo seguir as recomendações da Mozilla para configurar corretamente seu servidor