Руководство по развертыванию Diffie-Hellman для TLS

2015-06-18

11 минут read (About 1669 words)

Руководство по развертыванию Diffie-Hellman для TLS

DHE - криптографический протокол, позволяющий двум и более сторонам получить общий секретный ключ, используя незащищенный от прослушивания канал связи. Полученный ключ используется для шифрования дальнейшего обмена с помощью алгоритмов симметричного шифрования.

Шаг 1. Генерируем DH группу

Большинство современных браузеров (Google Chrome, Mozilla Firefox, and Microsoft Internet Explorer) используют группу шифрования 1024-bit. Рекомендую сгенерировать 2048-bit группу.

openssl dhparam -out dhparams.pem 2048

Шаг 2. Конфигурация сервисов

Для каждого сервиса необходимо два параметра (1) безопасные шифры, (2) DHE параметры, которые сгенерировали на прошлом шаге.

Apache HTTP Server (mod_ssl)

SSL параметр должен быть включен глобально в httpd.conf
Отключаем поддержку SSLv2 and SSLv3 и включаем поддержку TLS

Вносим шифры

SSLProtocol             all -SSLv2 -SSLv3

SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

SSLHonorCipherOrder     on

Вносим DH параметр.

Новые версии Apache (2.4.8 and newer) и OpenSSL 1.0.2

SSLOpenSSLConfCmd DHParameters "{путь до dhparams.pem}"

Если используется Apache с LibreSSL, или Apache 2.4.7 и OpenSSL 0.9.8a или позднее, то DH параметры можно добавить в конец файла сертификата.

Перезагружаем сервис

service httpd restart

Nginx HTTP Server

DH параметры размещаются в блоке server в /etc/nginx/sites-enabled/example.com

Вносим шифры

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

ssl_prefer_server_ciphers on;

Вносим DH параметр

ssl_dhparam {путь до dhparams.pem}

Перезагружаем сервис

service nginx restart

Lighttpd

Изменения вносятся в /etc/lighttpd/lighttpd.conf

Вносим шифры

ssl.cipher-list = "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA "

Вносим DH параметр

ssl.dh-file="{путь до dhparams.pem}"

Перезагружаем сервис

service lighttpd restart

Postfix SMTP

Настройки производятся в файле конфигурации /etc/postfix/main.cf

Вносим шифры

smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

Вносим DH параметр

smtpd_tls_dh1024_param_file = ${config_directory}/dhparams.pem

Перезагружаем сервис

service postfix restart

Sendmail

Вносим настройки в секцию LOCAL_CONFIG конфигурационного файла /etc/mail/sendmail.mc

Вносим шифры

O CipherList=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

Вносим DH параметры

O DHParameters={path to dhparams.pem}

Перезагружаем сервис

service sendmail restart

# security

Руководство по развертыванию Diffie-Hellman для TLS

Шаг 1. Генерируем DH группу

Шаг 2. Конфигурация сервисов

Apache HTTP Server (mod_ssl)

Вносим шифры

Вносим DH параметр.

Перезагружаем сервис

Nginx HTTP Server

Вносим шифры

Вносим DH параметр

Перезагружаем сервис

Lighttpd

Вносим шифры

Вносим DH параметр

Перезагружаем сервис

Postfix SMTP

Вносим шифры

Вносим DH параметр

Перезагружаем сервис

Sendmail

Вносим шифры

Вносим DH параметры

Перезагружаем сервис

Комментарии

Каталог

ссылки

недавние

теги

недавние

теги

Your browser is out-of-date!