SSLSCAN não está sendo executado corretamente após remover o TLS1.0

0

Ainda é um novato em Ubuntu, por favor, desculpe se é um tolo . Publiquei esta pergunta no Askubuntu, mas alguém sugeriu publicá-la aqui no superuser.com

Me pediram para parar de oferecer suporte às cifras TLS1.0. Pesquisei no Google e descobri que a adição da linha abaixo ao ssl.conf pode remover o TLS1.0 do httpd:

SSLProtocol all -TLSv1

Existe um "sslscan" no kali linux que estou usando para varrer o ip com a porta 443 para listar as cifras suportadas por esse ip.

Agora, antes de remover a cifra TLS1.0, o SSLSCAN funcionou corretamente e deu os resultados adequados, como abaixo:

TLS renegotiation:
Session renegotiation not supported

  TLS Compression:
Compression disabled

  Heartbleed:
TLS 1.0 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.2 not vulnerable to heartbleed

  Supported Server Cipher(s):
Accepted  TLSv1.0  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.0  256 bits  DHE-RSA-AES256-SHA            DHE 1024 bits
Accepted  TLSv1.0  256 bits  AES256-SHA
Accepted  TLSv1.0  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.0  128 bits  DHE-RSA-AES128-SHA            DHE 1024 bits
Accepted  TLSv1.0  128 bits  AES128-SHA
Accepted  TLSv1.0  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.0  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 1024 bits
Accepted  TLSv1.0  112 bits  DES-CBC3-SHA
Accepted  TLSv1.1  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.1  256 bits  DHE-RSA-AES256-SHA            DHE 1024 bits
Accepted  TLSv1.1  256 bits  AES256-SHA
Accepted  TLSv1.1  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.1  128 bits  DHE-RSA-AES128-SHA            DHE 1024 bits
Accepted  TLSv1.1  128 bits  AES128-SHA
Accepted  TLSv1.1  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.1  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 1024 bits
Accepted  TLSv1.1  112 bits  DES-CBC3-SHA
Accepted  TLSv1.2  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.2  256 bits  DHE-RSA-AES256-SHA            DHE 1024 bits
Accepted  TLSv1.2  256 bits  AES256-SHA
Accepted  TLSv1.2  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.2  128 bits  DHE-RSA-AES128-SHA            DHE 1024 bits
Accepted  TLSv1.2  128 bits  AES128-SHA
Accepted  TLSv1.2  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.2  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 1024 bits
Accepted  TLSv1.2  112 bits  DES-CBC3-SHA

  Preferred Server Cipher(s):
TLSv1.0  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
TLSv1.1  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
TLSv1.2  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256

  SSL Certificate:
"SSL Certificate details , I think is confidential to my organization so not sharing it"

Depois de REMOVER TLS1.0 CIPHERS SSLSCAN, os resultados estão abaixo:

TLS renegotiation:
Session renegotiation not supported

  TLS Compression:
Compression disabled

  Heartbleed:
TLS 1.0 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.2 not vulnerable to heartbleed

  Supported Server Cipher(s):
Accepted  TLSv1.1  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.1  256 bits  DHE-RSA-AES256-SHA            DHE 2048 bits
Accepted  TLSv1.1  256 bits  AES256-SHA
Accepted  TLSv1.1  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.1  128 bits  DHE-RSA-AES128-SHA            DHE 2048 bits
Accepted  TLSv1.1  128 bits  AES128-SHA
Accepted  TLSv1.1  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.1  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 2048 bits
Accepted  TLSv1.1  112 bits  DES-CBC3-SHA
Accepted  TLSv1.2  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.2  256 bits  DHE-RSA-AES256-SHA            DHE 2048 bits
Accepted  TLSv1.2  256 bits  AES256-SHA
Accepted  TLSv1.2  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.2  128 bits  DHE-RSA-AES128-SHA            DHE 2048 bits
Accepted  TLSv1.2  128 bits  AES128-SHA
Accepted  TLSv1.2  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.2  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 2048 bits
Accepted  TLSv1.2  112 bits  DES-CBC3-SHA

  Preferred Server Cipher(s):
TLSv1.1  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
TLSv1.2  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256

Failed to connect to get certificate.

Por que, após remover as cifras TLS1.0, o sslscan não pode se conectar para obter certificados? Estou removendo o TLS1.0 incorretamente? Se sim, qual é a maneira correta de desativar / remover as cifras TLS1.0? Ou isso é normal? O sslscan usa apenas o TLS1.0 para varrer o ip com a porta 443 que eu desabilitei, ou seja, está falhando em obter o certificado?

Caso alguém queira dar uma olhada nesta questão no Askubuntu, aqui está o link: https://askubuntu.com/questions/819568/sslscan-not-getting-executed-properly-after-removing-tls1-0

Yash Khare
fonte
Não confunda protocolos e cifras . Por exemplo, os protocolos TLS 1.0 e TLS 1.1 usam principalmente as mesmas cifras. Você SSLProtocolé a abordagem correta, mas acho que você pode precisar -TLSv1.0? Apenas um palpite.
grawity
Então você pode dizer que ... pelo método acima, estou restringindo as cifras TLS1.0, bem como as cifras TLS1.1? Porque os dois usam quase o mesmo conjunto de cifras e estou restringindo o próprio protocolo? E para restringir apenas as cifras TLS1.0, preciso usar algo como "SSLProtocol all -TLSv1.0", pois só preciso restringir cifras TLS1.0 ou não é possível restringir de alguma forma apenas apenas as cifras TLS1.0 e permitir TLS1 .1? Por favor, desculpe se isso é óbvio ou se eu entendi errado.
Yash Khare
Você não deseja restringir as cifras. Você deseja restringir protocolos .
grawity
@ grrawity: Ok, para restringir o protocolo TLS1.0 "-TLSv1" deve ser usado, eu acho. Segue abaixo o link: httpd.apache.org/docs/current/mod/mod_ssl.html .Mas depois de restringi-lo, SSLSCAN não está conseguindo se conectar para obter o certificado, é normal?
Yash Khare