Archive

文章標籤 ‘WEB’

SSL/TLS verify after Heartbleed bug discovery

2014年4月15日 評論已關閉

自從上星期的Heartbleed事件, 更多人開始留意網絡加密的安全性。

雖然公司大部份服務器都是Windows,未會有HeartBleed 這類大問題產生。但普片SSL測試網站也包括了上年的NSA加密破解事件中提及的RC4/SSLv2/SSLv3 容易被破解的測試。

Cipher

在WIKI上找到的資料,3DES、DES、RC2、RC4 基本上可以定議為容易破解的加密算法,而SSLv2, SSLv3 協定基本上也需要停用。所以兩日前開始就對公司的Web Servers 及Mail Servers 再一次lockdown。

今次用了NARTAC SOFTWARE的IIS Crypto 1.4來修改Windows Registry
IIS Crypto

只要選Best Practices 就設定好 TLS 1.1/1.2開啟、SSLv2或以下關閉、RC4 128bit以下全關閉,以及修改次序以 TLS 1.2 優先 (要REBOOT才生效)

重啟服務器後再用CheckTLS 及SSLLAB網頁工具測試。

TLSSSL Report

但是昨日發生了問題, Mdaemon 寄信到幾個DOMAIN/ISP出現問題 (SSL negotiation failed, error code 0x80090326)

原來設定了Cipher Suite Order令到SMTP 寄出信件到TLS支援的服務器可能遇到 STARTTLS HANDSHAKE 不了。

最後解決方法是Cipher Suite Order 用返DEFAULT,但就令到Overall Raiting 得返A-。

A-

 

Links

Categories: 網絡, 軟件 Tags: , , , , ,