navody:hosting:ssl
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verzePoslední revizeObě strany příští revize | ||
navody:hosting:ssl [2014/01/14 20:14] – gandalf | navody:hosting:ssl [2015/12/29 15:28] – gandalf | ||
---|---|---|---|
Řádek 31: | Řádek 31: | ||
<code bash> | <code bash> | ||
- | openssl req -new -key nazevdomeny.key -out nazevdomeny.csr | + | openssl req -new -sha256 |
</ | </ | ||
Řádek 59: | Řádek 59: | ||
< | < | ||
a2enmod ssl | a2enmod ssl | ||
+ | </ | ||
+ | |||
+ | ==== Doporučené nastavení mod_ssl ==== | ||
+ | |||
+ | Upravte nebo přidejte tyto volby v konfiguračním souboru __/ | ||
+ | < | ||
+ | SSLCipherSuite HIGH: | ||
+ | SSLHonorCipherOrder on | ||
+ | SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2 | ||
</ | </ | ||
Řádek 158: | Řádek 167: | ||
<code file> | <code file> | ||
TLS_CERTFILE=/ | TLS_CERTFILE=/ | ||
+ | TLS_PROTOCOL=" | ||
+ | TLS_CIPHER_LIST=" | ||
</ | </ | ||
Řádek 169: | Řádek 180: | ||
smtpd_tls_cert_file = / | smtpd_tls_cert_file = / | ||
smtpd_tls_key_file = $smtpd_tls_cert_file | smtpd_tls_key_file = $smtpd_tls_cert_file | ||
+ | smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 | ||
+ | smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 | ||
+ | smtp_tls_mandatory_exclude_ciphers = aNULL, MD5 | ||
+ | smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 | ||
+ | lmtp_tls_mandatory_exclude_ciphers = aNULL, MD5 | ||
+ | lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3 | ||
</ | </ | ||
+ | |||
+ | ===== Dovecot ===== | ||
+ | |||
+ | <code file> | ||
+ | ssl_cert_file = / | ||
+ | ssl_key_file = / | ||
+ | # | ||
+ | </ | ||
+ | |||
===== Lighttpd ===== | ===== Lighttpd ===== | ||
Řádek 190: | Řádek 216: | ||
openssl s_client -starttls smtp -crlf -connect vasedomena: | openssl s_client -starttls smtp -crlf -connect vasedomena: | ||
</ | </ | ||
+ | |||
+ | ===== Self-Signed certifikát ===== | ||
+ | |||
+ | Někdy nám stačí certifikát, | ||
+ | Vygenerování takového certifikátu probíhá obdobně, jako v předchozím případě: | ||
+ | |||
+ | 1. V adresáři /// | ||
+ | |||
+ | <code bash> | ||
+ | openssl genrsa -out nazevdomeny.key 2048 | ||
+ | </ | ||
+ | |||
+ | 2. Nyní ke klíči připravíme žádost o certifikát | ||
+ | |||
+ | <code bash> | ||
+ | openssl req -new -key nazevdomeny.key -out nazevdomeny.csr | ||
+ | </ | ||
+ | |||
+ | 3. Následně vytvoříme certifikát, | ||
+ | |||
+ | <code bash> | ||
+ | openssl x509 -req -days 365 -in nazevdomeny.csr -signkey nazevdomeny.key -out nazevdomeny.crt | ||
+ | </ | ||
+ | |||
+ | |||
+ | A máme hotovo. | ||
+ | |||
+ | |||
+ | ===== Ověření příslušnosti dvojice private a public key k sobě ===== | ||
+ | |||
+ | openssl rsa -noout -modulus -in test.key | ||
+ | |||
+ | openssl x509 -noout -modulus -in test.crt | openssl md5 | ||
+ | |||
+ | |||
+ | ===== Chyby v knihovně OpenSSL ===== | ||
+ | |||
+ | Začátkem dubna 2014 se objevila nepříjmená chyba v knihovně OpenSSL, která umožnuje ve verzi 1.0.1 útocníkům zjistit tajné klíče SSL certifikátů a následně dešifrovat hesla. | ||
+ | |||
+ | Chyba se týká verze OpenSSL 1.0.1 - 1.0.1f a je opravena až od verze 1.0.1g | ||
+ | |||
+ | * OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable | ||
+ | * OpenSSL 1.0.1g is NOT vulnerable | ||
+ | * OpenSSL 1.0.0 branch is NOT vulnerable | ||
+ | * OpenSSL 0.9.8 branch is NOT vulnerable | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | **Tyto verze OS jsou chybou dotčeni**: | ||
+ | |||
+ | * Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4 | ||
+ | * Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11 | ||
+ | * CentOS 6.5, OpenSSL 1.0.1e-15 (**opravuje balik 1.0.1e-16**) | ||
+ | * Fedora 18, OpenSSL 1.0.1e-4 | ||
+ | * OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012) | ||
+ | * FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013 | ||
+ | * NetBSD 5.0.2 (OpenSSL 1.0.1e) | ||
+ | * OpenSUSE 12.2 (OpenSSL 1.0.1c) | ||
+ | |||
+ | **Je nutné o nejdříve provést aktualizaci uvedených systémů a po provedené aktualizaci je nutno provést regenerování všech SSL certifikátů na serveru a změne hesel v aplikacích, | ||
+ | |||
+ | Starsi verze OS jsou bezchybne: | ||
+ | |||
+ | * Debian Squeeze (oldstable), | ||
+ | * SUSE Linux Enterprise Server | ||
+ | * FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013 | ||
+ | * FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013 | ||
+ | * FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC) | ||
+ | * FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC) | ||
+ | |||
+ | **Diagnostika** | ||
+ | |||
+ | Otestovat je možno aktuální verzí [[man> | ||
+ | |||
+ | < | ||
+ | nmap -sV --script=ssl-heartbleed < | ||
+ | </ | ||
+ | |||
+ | Podrobnosti o celé problematice je možné najít zde - [[http:// | ||
+ | |||
+ | Další zajímavé informace: | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | |||
+ | |||
+ | ==== Odkazy ==== | ||
+ | |||
+ | * [[https:// | ||
+ | |||
+ | |||
+ | |||
+ |