Oops! It appears that you have disabled your Javascript. In order for you to see this page as it is meant to appear, we ask that you please re-enable your Javascript!
+55 (11) 4506-3239
academy@glsolutions.com.br

24 ago 2011

Como desabilitar o protocolo SSLv2 no IBM HTTP Server

/
Postado por
/
Comments0
A SSLv2 é uma versão antiga e já ultrapassada. Existem algumas vulnerabilidades nesta versão. Foram descobertas duas grandes falhas.
The Downgrade Attack: SSLv2 não possui noção da integridade na verificação de pacotes handshake. Assim, um ataque pode alterar a chave do algoritmo e seu tamanho determinado pelo cliente enquanto as apropriadas mensagens handshake estavam em conexão. Isto pode resultar em uma vulnerabilidade na conexão SSL, iniciando uma configuração entre o cliente e o servidor.
The Truncation Attack: SSLv2 não permite que as partes envolvidas possam distinguir quando a conexão está finalizada por um deles ou por algo malicioso. Sendo assim, um ataque pode interromper as conexões de segurança cliente-servidor. Caso o ataque adicionalmente entenda a aplicação, as semânticas das mensagens iniciam-se trocadas ocasionando a potencialidade de alterar o significado das mensagens pela interrupção da conexão.
A orientação neste caso é desabilitar a versão SSLv2 e passar a utilizar a versão SSLv3 ou TLSv1.
Antes, é necessário aplicar algumas correções nos servidores de HTTP. Estas correções servem para IBM HTTP e Apache Server.

As versões abaixo já possuem condições de desabilitar a SSLv2.

IHS 6.1.0.2 ou superior
IHS 6.0.2.13
IHS 2.0.42.2: PK25355 ou superior
IHS 2.0.47.1: PK25355 ou superior

Desabilitando o protocolo SSLv2.

1 – Edite o arquivo httpd.conf
2 – Procure pela tag  VirtualHost;
3 – Abaixo de SSLEnable, inserir SSLProtocolDisable SSLv2
4 – Salve o arquivo httpd.conf
5 – Reinicie o servidor http: ./apachectl stop em seguida ./apachectl start
6 – Utilize o comando para verificar se o protocolo SSLv2 está desabilitado.
openssl s_client -connect hostname:443 -ssl2
7 – A seguinte mensagem deve ser exibida
27052:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Utilizar apenas SSLv3 e TLSv1.

Caso seja necessário utilizare apenas o SSLv3 e o TLSv1, utilize o SSLCipherSpec conforme abaixo.

SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA

SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
SSLCipherSpec SSL_RSA_WITH_DES_CBC_SHA
SSLCipherSpec TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SSLCipherSpec TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA

Nota: A versão 8 do IBM HTTP Server já vem com SSLv2 desabilitado.

Deixe um comentário