RHEL 4で実行されているApache 2.0でのBEASTの脆弱性の修正

RHEL4でApache 2.0を実行しているWebサーバーがあります。このサーバーは最近PCIスキャンに失敗しました。

理由：SSLv3.0 / TLSv1.0プロトコルの脆弱なCBCモードの脆弱性の解決策：この攻撃は、2004年およびそれ以降のTLSプロトコルの修正版で修正されています。可能であれば、TLSv1.1またはTLSv1.2にアップグレードします。TLSv1.1またはTLSv1.2にアップグレードできない場合、CBCモード暗号を無効にすると、脆弱性が削除されます。Apacheで次のSSL構成を使用すると、この脆弱性が緩和されます。SSLCipherSuite RC4-SHA：HIGH：！ADHのSSLHonorCipherOrder

簡単な修正、私は思った。Apache構成に行を追加しましたが、機能しませんでした。どうやら
「SSLHonorCipherOrder On」はApache 2.2以降でのみ動作します。私はApacheをアップグレードしようとしましたが、すぐに依存関係に陥りました。Apache2.2にアップグレードするにはOS全体をアップグレードする必要があるようです。数か月以内にこのサーバーを廃止するため、その価値はありません。

ソリューションは、「TLSv1.1またはTLSv1.2へのアップグレードが不可能な場合、CBCモード暗号を無効にすると脆弱性が削除されます」と述べています。

Apache 2.0でこれを行うにはどうすればよいですか？これも可能ですか？そうでない場合、他の回避策はありますか？

新しいApacheを手作業でコンパイルする以外に、RC4-SHAを唯一のサポートされている暗号openssl ciphers RC4-SHAにすることしか考えられません（現在のopensslでテストして1つの暗号のみを印刷することを確認し、同じことをしたいかもしれません古いopensslの奇妙な古い暗号と一致しないようにするため）：

SSLCipherSuite RC4-SHA

MSは、Windows XPはTLS_RSA_WITH_RC4_128_SHAをサポートしているため、互換性の問題はないはずだと言います。

サーバーレベルでBEASTを「修正」する方法は2つしかありません。

最良のオプションは、サーバーのSSLライブラリをTLS v1.1以降をサポートするものにアップグレードすることです（そして、クライアントもそれをサポートしていることを確認してください。

他のオプションは、CBC（Cypher-Block-Chaining）暗号化アルゴリズムを無効にして、ECB（電子コードブック）暗号またはRC4のようなものに切り替えます（ECBアルゴリズムは、特定の平文入力が特定のキーは常に同じ暗号文にマップされるため、既知のプレーンテキスト攻撃で簡単に破ることができますが、実際には、これは大きな問題にはなりそうにありません。

実行中のサーバーは死んでおり、埋もれており、分解されているため、パッチを適用したApacheを構築するのに必要な労力の価値はおそらくないでしょう（ApacheとOpenSSLを個別に再構築して、デフォルトでシステムにインストールされているOpenSSLのバージョンが必要です-そのような作業をしている場合は、システム全体を実際にサポートされているものにアップグレードすることもできます）、「Switch to ECB Cyphers」としてあなたの実行可能なソリューション。

BEASTは本当にこれらの日の攻撃の何-バーガーです- すべての一般的なブラウザ（IE、クローム、サファリ、オペラ）は効果的な回避策を実施している、と理由の攻撃が動作する方法には、ブラウザの外を実装するためにはかなり難しいです（したがってapt、yumまだかなり安全です）。

GoogleのAdam Langleyは今年初めにすばらしい講演を行いました。re：SSLとセキュリティに集中する必要のあるいくつかの痛みのポイントを概説しています。

ssllabs.comテストに合格するための唯一の解決策は、Apache httpd.confおよびssl.confファイルに次の4行を追加することです。

SSLHonorCipherOrder On

SSLProtocol -all + TLSv1 + SSLv3

SSLCipherSuite RC4-SHA：HIGH：！MD5：！aNULL：！EDH：！ADH

SSLInsecureRenegotiation off

これらの設定がssl.confファイルに2回投稿されていないことを確認してください。

現在、私のサイトはAで合格しています。