Web sunucumuzda, ssl zafiyetlerine karşı test yaptırdığımızda chiper vs. hatası alıyorsak, sslv2 sslv3 ilave olarakta sslv1 den bazı chiperları devre dışı bırakmamızda fayda var.
Apache2 de devre dışı bıraktığım ssl/tls tipleri;
*********************+++++++++++++++++++*****************************
SLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4:!ADH:!eNULL:!LOW:!EXPORT:!DSS:!DES:!DHE-RSA-AES256-SHA:!AES256-SHA:!DHE-RSA-AES128-SHA:!EDH-RSA-DES-CBC3-SHA:!DES-CBC3-SHA:!DHE-RSA-AES128-SHA:!DES-CBC3-SHA:!AES128-SHA:!PSK:!SRP:!ECDHE-RSA-DES-CBC3-SHA:!IDEA-CBC-SHA
SSLHonorCipherOrder on
*********************+++++++++++++++++++*****************************
Sunucunuzun ssl/tls durumunu aşağıdan test ettirebilirsiniz;
https://www.ssllabs.com/ssltest/analyze.html
Kapatmanız gereken chiperlar olursa, openssl sayfasından kontrol ederek, yukarıdaki gibi (chiperin önüne ! koyarak) devre dışı bırakabilirsiniz.
https://www.openssl.org/docs/man1.0.2/apps/ciphers.html
Apache2 de devre dışı bıraktığım ssl/tls tipleri;
*********************+++++++++++++++++++*****************************
SLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4:!ADH:!eNULL:!LOW:!EXPORT:!DSS:!DES:!DHE-RSA-AES256-SHA:!AES256-SHA:!DHE-RSA-AES128-SHA:!EDH-RSA-DES-CBC3-SHA:!DES-CBC3-SHA:!DHE-RSA-AES128-SHA:!DES-CBC3-SHA:!AES128-SHA:!PSK:!SRP:!ECDHE-RSA-DES-CBC3-SHA:!IDEA-CBC-SHA
SSLHonorCipherOrder on
*********************+++++++++++++++++++*****************************
Sunucunuzun ssl/tls durumunu aşağıdan test ettirebilirsiniz;
https://www.ssllabs.com/ssltest/analyze.html
Kapatmanız gereken chiperlar olursa, openssl sayfasından kontrol ederek, yukarıdaki gibi (chiperin önüne ! koyarak) devre dışı bırakabilirsiniz.
https://www.openssl.org/docs/man1.0.2/apps/ciphers.html
Yorumlar
Yorum Gönder