HOGYAN TESZTELHET?

Az elmúlt napokban több hírportál is beszámolt arról, hogy egy régebbi konfigurációs probléma - OPENSSL BUG - miatt az SSL-lel védett weboldalak és levelezőszerverek titkosítása könnyedén feloldhatóvá vált. Szeretnénk segíteni minden weboldal és szerverüzemeltető szakembernek, hogy bárki egyszerűen ellenőrizhesse a web- vagy levelező szerverét a probléma kapcsán.

A NETLOCK SSL V2 protokoll ellenőrző alkalmazás segítségével egyszerűen és ingyenesen tesztelhető bármilyen szerver vagy weblap, amely standard portokon fut. Ha pedig lejjebb görget, útmutatást talál az ajánlott szerver beállítások kapcsán is.

Kérjük, írja be a jobb oldali mezőbe a weboldal címét és kattintson a "Beállítás ellenőrzése" gombra. Az alkalmazás rövid időn belül ellenőrzi, hogy a megadott szerver érintett-e, és kijelzi az ellenőrzés eredményét.

Az ellenőrzés akár 15-20 másodpercig is eltarthat.

NETLOCK SSL V2 BIZTONSÁGI PROTOKOLL ELLENŐRZŐ

https://

Amennyiben érdekli a NETLOCK SSL ajánlata, adja meg e-mail címét.

AJÁNLOTT SZERVER BEÁLLÍTÁSOK

Az alábbi javaslatok több forrás (Mozilla ajánlások, Petri.com, alkalmazások manualjai) alapján kerültek összeállításra, és az anyag kidolgozásának időpontjában – 2016. március közepén - a leghatékonyabbnak talált és legközérthetőbb javaslatokat tartalmazzák. A beállítás csak tesztelés után javasolt!

Openssl verzió ellenőrzése

Az openssl verzióját az openssl -version paranccsal kérhetjük le. Ha ez 1.0.2g, 1.0.1s, 0.9.8zf, akkor a legutolsó verziók egyikét használjuk, így biztonsági szempontból az SSLv2 protokoll tiltása elegendő.

Fontos, hogy az 0.9.8 verzió 2015 december 31-től, míg az 1.0.1 verzió 2016 december 31-től nem támogatott, így ezen verziókat érdemes 1.0.2.g-re frissíteni.

Szerver beállítási javaslatok

Az alábbi beállítások a Mozilla ajánlásai alapján meghatározott beállítások.A beállítások érvényesítése esetén a legrégebbi kliensek, amik a szerverrel kapcsolatot tudnak teremteni:

Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3, Java 7


WEBSZERVEREK

 
SSLProtocol all -SSLv3 –SSLv2
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off
SSLProtocol TLSv1 TLSv1.1 TLSv1.2;
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
ssl_prefer_server_ciphers on
ssl.use-sslv2 disable
ssl.use-sslv3 disable
ssl.honor-cipher-order enable
ssl.cipher-list ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

A Nartac cég terméke ingyenes az IISCrypto, amely lehetővé teszi, hogy az IIS titkosítási beállításait egyszerűen konfiguráljuk.

https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe (.Net 2.x verzió)

A programot elindítva elég csupán a ’Best practices’ gombot megnyomnunk, a legjobb paraméterek beállításához.

(.Net 4.x verzió https://www.nartac.com/Downloads/IISCrypto/IISCrypto40.exe Minden verzió: https://www.nartac.com/Products/IISCrypto/Download)

Windows 2003 szerver nem tartalmazza az AES titkosítást, ezt Hotfix-ből telepíteni kell: http://support.microsoft.com/kb/948963

Windows 2003 esetében továbbá nem változtatható a cipher algoritmusok sorrendje, de ki be kapcsolásuk viszont lehetséges.

Ezen verziókban még nem található meg a TLS 1.1 és 1.2 verzió.

Ha a szervert RDP-n keresztül érjük el, ne és az RDP TLS 1.0-t használ, ne kapcsoljuk ki az IISCrypto-val a TLS 1.0-t mert nem fogjuk tudni elérni a szervert.

Az Exchange szerverek webszolgáltatásai (pl: OWA) az operációs rendszerbe épített szolháltatások beállításait veszik át, ez esetben az IIS-ét.

Tehát az Exchange esetében az Exchange serveren kell futtatni az IIS Crypto alkalmazást.

LEVELEZŐ SZERVEREK

 
Verzió Javasolt legalább 2.6 de inkább 2.10 verzióra frissíteni.
smtp_tls_mandatory_protocols !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
smtp_tls_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
TLS_PROTOCOL TLS1
TLS_CIPHER_LIST ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
ssl_cipher_list ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS