Etiquetado: FEX_2020
- Este debate tiene 3 respuestas, 2 mensajes y ha sido actualizado por última vez el hace 2 años, 1 mes por
David Acosta.
-
AutorEntradas
-
-
marzo 13, 2020 a las 0:12 #52438
jhonny_fex
ParticipanteBuenas tardes a todos, quiero comentarles un inconveniente que se me esta presentando sobre las vulnerabilidades. tengo un servidor web que al momento de testearlo con el webinspect me muestra este mensaje:
12Vulnerability SeverityInsecure Transport: Weak SSL Cipher [11285] Critical
en la cual me indica que debo deshabilitar lo siguiete:
Deshabilite el soporte para cifrados débiles en el servidor. Las cifras débiles se definen generalmente como:
Cualquier cifra con una longitud de clave inferior a 128 bits
Conjuntos de cifrado de clase de exportación
Cifrados NULOS
Cifrados que admiten modos no autenticados
Cifrados evaluados con valores de seguridad inferiores a 112 bits
Todos los cifrados RC4
Todos los cifrados de bloque de 64 bits
Todos los cifrados que usan MD5 y SHA1 para funciones hash criptográficas
Los siguientes cifrados admitidos por el servidor son débiles y deberían deshabilitarse.Ahora lo que no se en que parte del servidor debo realizar esta configuración, si es que se debe instalar un aplicativo que me permita realizar estas configuraciones. por favor si me podrían orientar. Asimismo debo de mencionar que mi servidor web esta en java.
Muchas Gracias -
marzo 13, 2020 a las 15:22 #52449
David Acosta
ParticipanteHola Jhonny:
Te he dejado mi respuesta en tu comentario del artículo. La copio aquí:
El primer paso es identificar qué tipo de servidor web estás utilizando (Apache, Ngnix, IIS, etc.) y con base en ello, modificar el archivo de configuración en el que se le indica a este servidor qué conjuntos de cifrado debe utilizar. En el mismo reporte del escaneo ASV te debería indicar el tipo de servidor web que usas. Luego, ve a https://ssl-config.mozilla.org/, escoge el tipo de servidor, elige la configuración «Intermediate» y remplaza la lista de conjuntos de cifrado (cipher suites) con la que te aparece ahí.
Espero que estas indicaciones te sirvan. -
marzo 23, 2020 a las 15:19 #52568
jhonny_fex
ParticipanteHola Davis gracias por tu respuesta, sobre mi servidor web es JBOSS, a la hora que voy al link que me indicas https://ssl-config.mozilla.org/, no encuentro dicho servidor. Para ello te consultaría que tipo de configuración se realizaría, o hay otro link que me podría ayudar.
Agradezco tu apoyo.
Muchas Gracias,
Jhonny Q. -
marzo 24, 2020 a las 0:22 #52571
David Acosta
ParticipanteHola Jhonny:
Tienes que configurar el conector HTTPS (HTTPS Connector) para indicarle los conjuntos de cifrado robustos y remover los débiles. En este caso, esto se realiza con el atributo «cipher-suite».
Aquí encontrarás la documentación oficial: https://docs.jboss.org/jbossweb/7.0.x/config/ssl.html
Aquí tienes algunos ejemplos: https://discussions.qualys.com/thread/18078-jboss-eap-601-cipher-suite-configuration-not-working-as-expected-at-all
Hay que tener en cuenta varias cosas adicionales:
– Debes tener JDK 1.8 o superior
– Debes tener configurado TLS 1.1 o superior
– Debes remover todos los conjuntos de cifrado que contengan MD5, SHA-1, DES o algoritmos débiles (https://www.pcihispano.com/que-algoritmos-criptograficos-se-deben-emplear-para-cumplir-con-pci-dss/).
Al finalizar, puedes hacer pruebas empleando cualquiera de las herramientas mencionadas aqui https://www.pcihispano.com/revisa-si-la-configuracion-de-tls-1-2-de-tu-sitio-web-es-correcta-con-estas-herramientas/
Espero que esto te sirva.
-
-
AutorEntradas
- Debes estar registrado para responder a este debate.