0

私は EV 付きの SSL 証明書を持っており、BEAST 攻撃を軽減するための Eric Martindale の指示に従っていますが、攻撃に対する脆弱性をまだ示しています。

SSL Labs によると、honorCipherOrder を設定しても、これらの暗号のみがリストされ、順序は無視されます。

暗号スイート (強度順、サーバーは優先順位なし)
TLS_RSA_WITH_RC4_128_SHA (0x5) 128 TLS_RSA_WITH_AES_128_CBC_SHA
(0x2f) 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256

BEAST アタック Vulnerable INSECURE

これが私のコードです:

THE MODULE
module.exports = {
    key: fs.readFileSync(__dirname + '/../vault/ssl/' + serverInfo.serverType + '.key'),
    cert: fs.readFileSync(__dirname + '/../vault/ssl/' + serverInfo.serverType + '.pem'),
    ciphers: 'ECDHE-RSA-AES256-SHA:AES256-SHA:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM',
    honorCipherOrder: true
};

THE SERVER.JS FILE
var sslOptions = require(__dirname + '/app_modules/ssl.js');
https.createServer(sslOptions, app).listen(securePort);

どうすれば BEAST 攻撃から身を守ることができますか? 注文を尊重する必要があるようですが、そうではありません。

4

2 に答える 2

0

ここでこのソリューションを使用しました。

https://certsimple.com/blog/a-plus-node-js-ssl

これは、前方秘匿性の問題を軽減するために使用する暗号のリストです。

[
    "ECDHE-RSA-AES256-SHA384",
    "DHE-RSA-AES256-SHA384",
    "ECDHE-RSA-AES256-SHA256",
    "DHE-RSA-AES256-SHA256",
    "ECDHE-RSA-AES128-SHA256",
    "DHE-RSA-AES128-SHA256",
    "HIGH",
    "!aNULL",
    "!eNULL",
    "!EXPORT",
    "!DES",
    "!RC4",
    "!MD5",
    "!PSK",
    "!SRP",
    "!CAMELLIA"
]
于 2016-03-07T06:36:29.153 に答える