Server Patch SSL gegen DROWN Attack absichern

  1. Startseite
  2. Alle Themen
  3. VCAT
  4. Technik
  5. Server Patch SSL gegen DROWN Attack absichern

Themen

Neueste Beiträge

Neueste Kommentare

Betrieb & Hosting
15. Dezember 2016

Server Patch SSL gegen DROWN Attack absichern

Update OpenSSL

apt-get update
apt-get install --only-upgrade libssl1.0.0 openssl

Möglicherweise muss auch OpenSSL aktualisiert werden

siehe dazu Update OpenSSL

HTTP – Apache – /etc/apache2/mods-enabled/ssl.conf

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256
SSLHonorCipherOrder on

Postfix – /etc/postfix/main.cf

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_eecdh_grade = ultra

und zusätzlich wahlweise noch

lmtp_tls_protocols = !SSLv2, !SSLv3
tlsproxy_tls_protocols = $smtpd_tls_protocols
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols
smtpd_tls_ciphers = medium
smtp_tls_ciphers = medium
smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
smtpd_tls_eecdh_grade = strong
smtp_tls_exclude_ciphers = EXPORT, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
smtpd_tls_exclude_ciphers = EXPORT, LOW, MD5, SEED, IDEA, RC2
smtpd_sasl_security_options = noanonymous

Anmerkung: „noplaintext“ bei smtpd_sasl_security_options“ kann zu Problemen beim Versand von Plaintext Emails führen diese werden nicht versendet.
Weiterhin muss der SASL Daemon laufen (/etc/init.d/saslauthd start)

Dovecot – /etc/dovecot/dovecot.conf

ssl_protocols = !SSLv2 !SSLv3

Dovecot – /etc/dovecot/conf.d/10-ssl.conf

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

Webmin
Webmin -> Webmin-Konfiguration -> SSL Verschlüsselung
„Erlaubt SSL-Verschlüsselungen“ -> „Nur starke PCI-konforme Schlüssel“

saslauthd


/etc/init.d/saslauthd restart

Weitere Doku:

Um diesen Inhalt zu sehen, musst du erst die Cookies akzeptieren.

Testen kann man hier:
https://www.ssllabs.com
https://pentest-tools.com/network-vulnerability-scanning/drown-ssl-scanner

Für den Fall, dass aus Usermin nicht mehr Emails gesendet werden können:

failed : 530 5.7.0 Must issue a STARTTLS command first

Lösung: /etc/postfix/main.cf
smtpd_tls_security_level = encrypt
zu
smtpd_tls_security_level = may
ändern und postfix neu starten

Ähnliche Artikel:

Default ThumbnailErhöhung der maximalen Uploadgröße beim vtiger CRM SSL ab 2017 Pflicht Default ThumbnailAdministration einer WordPress Installation über die Kommandozeile Default ThumbnailTYPO3 Plug-In RealUrl legt Server lahm Einstufung von Emails als Spam mit DKIM vermeiden
Patrick Schwalger
0
Schlagwörter :

Autor: Patrick Schwalger

... ist Gründer und Geschäftsführer bei der VCAT Consulting GmbH. Er betreut unsere Kunden aus den Bereichen Mittelstand und Öffentliche Hand in den Teams TYPO3 und Symfony.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Qualität aus Potsdam

VCAT ist ausgezeichnet als Finalist beim Großen Preis des Mittelstandes
VCAT ist als ausgezeichnet mit dem Brandenburger Zukunftspreis CAI
VCAT wurde von der IHK Potsdam als TOP Ausbildungsbetrieb ausgezeichnet

Unsere Netzwerke

P1NA steht für Partner in Action - dem VCAT Unternehmensnetzwerk für Agenturen
VCAT ist Mitglied im Silicon Sanssouci e.V.
VCAT als Webagentur Potsdam, Berlin ist Mitglied im Unternehmerverband Brandenburg-Berlin UVBB
VCAT ist Mitgorganisator des WP Meetup Potsdam - dem Treffen der WordPress Community

Aktuelles

Cookies bearbeiten