En este tutorial veremos cómo podemos resolver las amenazas de Poodle y configurar forward secrecy en el servidor Apache de un sistema operativo GNU/Linux CentOS 6.
Para verificar si hay actualizaciones:
yum check-update
Para actualizar todo el sistema operativo:
yum update
Para deshabilitar SSLv3 en el servidor Apache hay que abrir con el editor el archivo /etc/httpd/conf.d/ssl.conf
# soluciona vulnerabilidad Poodle SSLProtocol All -SSLv2 -SSLv3 # habilita forward secrecy SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
Verificar si la configuración del archivo está correcta:
apachectl configtest
Reiniciar el servidor apache:
sudo service apache2 restart
Verificamos que funciona como esperado:
openssl s_client -connect <IP_servidor>:<puerto> -ssl3
Testes online: https://www.tinfoilsecurity.com/poodle (Poodle) y https://www.ssllabs.com/ssltest/ (forward secrecy).
Fuentes consultadas: http://disablessl3.com/# , https://access.redhat.com/solutions/1232413 , https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
«ASF-logo» by Apache Software Foundation (ASF) – http://www.apache.org/. Licensed under Apache License 2.0 via Wikimedia Commons.