Logjam - HTTPS Server updaten Tutorial

May 21, 2015 estimated read-time 1 min

Laut Heise Security gibt es eine neue Möglichkeit die HTTPS Verschlüsselung zu umgehen. Dies lässt sich auf eine Schwäche im Protokoll, welches den Diffie-Hellman-Schlüsselaustausch nutzt, zurückführen.

Der Angriff zwingt Server und Client die leichter knackbare 512-Bit-Variante zu verwenden. Um dies zu verhindern empfiehlt sich die Konfig des Webservers anzupassen.

Ich habe das eben für diese Domain vorgenommen - ist relativ einfach.

Abhilfe kommt in zwei Schritten - Wir erzeugen erstmal 2048-bit Starke Diffie-Hellmann Parameter und weisen den Webserver an diese zu verwenden.

sudo openssl dhparam -out dhparams.pem 2048

Ich habe die dhparams.pem in den Ordner der Zertifikate verschoben.

sudo vi /etc/nginx/sites-available/benmatheja.de

Im zweiten Schritt verhindern wir, dass der Server sich darauf einlässt die schwächere Variante zu akzeptieren. Dies erfolgt durch Limitierung der erlaubten SSL-Ciphers

    #logjam additions
    ssl_dhparam /etc/nginx/certs/dhparams.pem;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_prefer_server_ciphers on;

Nun noch ein Test, ob die Konfiguration von Nginx akzeptiert wird.

ben@vps:/etc/nginx/sites-enabled$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Nginx ist glücklich. Nun noch ein Reload und die neue Konfiguration ist aktiviert.

sudo service nginx reload

Über die weakdh.org Seite lässt sich nun prüfen, ob der Server gegen die Angriffsart gesichert ist.

Screenshot

Das sieht gut aus. Weitere infos wie die Konfiguration für Apache und der Zugang zum Test finden sich hier.

Mehr dazu

subscribe via RSS

made in stuttgart with