Vulnerability Protokol SSL

[Wibowo]

barusan iseng-iseng cek SSL pake SSLabs Qualys
ssllabs[dot]com/ssltest

pake nginxproxy hasilnya lumayan mengagetkan juga
vulnerable ke Drown Attack dan penggunaan cipher Diffie-Hellman


coba baca di sini https://weakdh.org/sysadmin.html dan di sini https://blog.qualys.com/securitylabs/2016/03/04/ssl-labs-drown-test-implementation-details ada panduan untuk memperbaiki config

saya coba cek /opt/configs/nginx/tpl/domains.conf.tpl kok gak nemu bagian ssl cipher ya?
apa memang harus ditambahkan sendiri?

[MRatWork]

Lihat di /opt/configs/nginx/conf/globals/ssl_base.conf.

[Wibowo]

Lihat di /opt/configs/nginx/conf/globals/ssl_base.conf.

ya pak
sudah saya edit, warning diffie-hellman hilang tapi warning drown masih ada
mungkin dari key ssl-nya (masih nebak2)

[masnggakdiajak]

bang wibowo pernah tes di https securityheaders[dot]io dapat nilai apa?

mau tanya untuk nambah kode ini untuk per domain

Code: [Select]

#Strict-Transport-Security
add_header Strict-Transport-Security "max-age=31536000;" always;
#X-Frame-Options
add_header X-Frame-Options "SAMEORIGIN" always;
#X-Content-Type-Options
add_header X-Content-Type-Options "nosniff" always;
#X-XSS-Protection
add_header X-Xss-Protection "1; mode=block" always;
#Content-Security-Policy
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://domain.disqus.com https://www.google-analytics.com; style-src 'self' 'unsafe-inline'; img-src 'self' https://www.google-analytics.com";
#Public-Key-Pins
add_header Public-Key-Pins 'pin-sha256="X3pGTSOuJeEVw989IJ/cEtXUEmy52zs1TZQrU06KUKg="; pin-sha256="MHJYVThihUrJcxW6wcqyOISTXIsInsdj3xK8QrZbHec="; pin-sha256="isi41AizREkLvvft0IRW4u3XMFR2Yg7bvrF7padyCJg="; max-age=10';

diamana? apakah sama di

Code: [Select]

/opt/configs/nginx/conf/globals/ssl_base.conf.

terimakasih,

[NginxHolic]

Sorry bump old thread.

Ada yang sudah solve untuk DROWN attack di Kloxo MR?
LogJam sudah clear di saya.

[masnggakdiajak]

saya juga masih belum menemukan bang masalah DROWN attack di Kloxo MR, semoga mimin bisa membantu,

btw LogJam apa yah bang?

[MRatWork]

Jika dicoba webserver satu-per-satu (nginx, lighttpd, httpd, apache). Hasilnya akan berbeda.

[masnggakdiajak]

saya menggunakan nginxproxy DROWN attack masih muncul, agara warning DROWN attack hilang menggunakan webserver apa mas?

[MRatWork]

Ujinya pakai SSLLabs ya?. Saya agak ragu ujinya.

Drown itu 'menyerang' ssl yang masih SSLv2. Bagaimana mungkin jika pakai hiawatha katanya masih ada drown attack. Hiawatha tidak pakai lagi SSLv2 bahkan SSLv3 pun ditiadakan. Hiawatha hanya pakai TLS1.0 keatas.

[masnggakdiajak]

iya di SSLLabs, kalau nginxproxy kloxoMR menggunakan ssl atau tls?

[MRatWork]

iya di SSLLabs, kalau nginxproxy kloxoMR menggunakan ssl atau tls?

Semua webserver di Kloxo-MR 7.0 sudah disable SSLv2 dan SSLv3 sehingga hanya pakai TLS1.0, TLS1.1 dan TLS1.2.

[masnggakdiajak]

oke siap mas makasih,

[hostrator]

kalau ubah sslkey bit dari 2048 ke 4096 gimanaya caranya, apakah dihapus dulu ssl nya terus di add lagi ?

[MRatWork]

kalau ubah sslkey bit dari 2048 ke 4096 gimanaya caranya, apakah dihapus dulu ssl nya terus di add lagi ?

Ya.