Confidentialité parfaite des transferts dans l'installation par défaut d'Ubuntu 14.04
Ubuntu 14.04 prend-il en charge et active-t-il secret de transfert parfait les chiffrements dans la configuration TLS par défaut des serveurs tels que nginx, dovecot et postfix?
Les versions précédentes d'Ubuntu telles que 12.04 n'avaient même pas les chiffrements nécessaires compilés (voir LP # 1197884 ou Comment activer TLS 1.2 dans Nginx? ).
Non, mais c’est parce que ce n’est pas à Ubuntu de le supporter ou de l’activer. C’est aux logiciels respectifs de le supporter.
Vous devez avoir les lignes suivantes dans votre configuration pour ...
Apache
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
Nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
Dovecot
ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
ssl_prefer_server_ciphers = yes
Postfix
#the dh params
smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
#enable ECDH
smtpd_tls_eecdh_grade = strong
#enabled SSL protocols, don't allow SSLv2
smtpd_tls_protocols= !SSLv2
smtpd_tls_mandatory_protocols= !SSLv2
#allowed ciphers for smtpd_tls_security_level=encrypt
smtpd_tls_mandatory_ciphers = high
#allowed ciphers for smtpd_tls_security_level=may
#smtpd_tls_ciphers = high
#enforce the server cipher preference
tls_preempt_cipherlist = yes
#disable following ciphers for smtpd_tls_security_level=encrypt
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
#disable following ciphers for smtpd_tls_security_level=may
#smtpd_tls_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
#enable TLS logging to see the ciphers for inbound connections
smtpd_tls_loglevel = 1
#enable TLS logging to see the ciphers for outbound connections
smtp_tls_loglevel = 1
Il existe certaines exigences système et autres paramètres de configuration. Plus sur les 2 liens:
Oui, toutes les versions prises en charge d'Ubuntu sont livrées avec OpenSSL 1.0.1+ et la plupart des logiciels sont liés à OpenSSL pour la sécurité TLS.
N'oubliez pas qu'un serveur TLS approprié peut être complexe à configurer correctement. Quelques recommandations générales rapides.
Ordre de la suite de chiffrement côté serveur
La suite de chiffrement par défaut d’OpenSSL inclut la prise en charge de PFS, mais ne donne pas la priorité à cette priorité au niveau de la négociation. L'application peut également avoir son propre paramètre de suite de chiffrement par défaut pour initialiser OpenSSL.
Vérifiez régulièrement pour de nouvelles recommandations
Toujours définir vos propres paramètres de suite de chiffrement/protocole aux recommandations modernes. De temps en temps, des vulnérabilités sont découvertes et peuvent réduire la sécurité si elles sont toujours utilisées. Par exemple, RC4 devrait être désactivé, mais il y a deux ans, il était recommandé de hiérarchiser cela pour l'attaque BEAST à l'époque. Cela a été corrigé dans OpenSSL quelques semaines après, mais les gens continuent à utiliser RC4 ... :(
Créez des paramètres DH!
Aussi, n'oubliez jamais de créer des paramètres DH, sinon PFS ne sera pas utilisé pour les suites de chiffrement non-ECDHE! C'est une erreur commune que je constate avec les gens autour de moi. OpenSSL sera initialisé sans les paramètres DH existants, ce qui entraînera un manque de PFS pour les clients non-ECDHE.
Suivi des recommandations mises à jour
Cette page wiki gérée par l'équipe de sécurité de Mozilla conserve une liste d'instructions simples et les raisons de leurs recommandations.
https://wiki.mozilla.org/Security/Server_Side_TLS
TRES beaucoup recommandé de suivre cela!
Vérifier en ligne
Utilisez par exemple le test Qualys SSL Labs: https://www.ssllabs.com/ssltest/ et suivez les recommandations. Il est tout à fait faisable d’obtenir un score A +.
Oui, Ubuntu 14.04 prend en charge la sécurité avancée par défaut.
La configuration par défaut permet au client de l'activer ou non. Chrome, Firefox et Safari le demanderont.