DROWN, vamos de nuevo

Está claro que SSL en sus variantes v2 y v3 deben ser eliminados de nuestros servers a la hora de ajustar nuestros parámetros TLS, sobre todo ahora que DROWN está haciendo bastante daño. Si desean conocer más detalles sólo debe llegarse a la página de @HectorSuarez.

DROWN

Para Apache o Nginx, ya le echamos una ojeada, ahora hoy buscando en internet me encuentro que para los que administramos Postfix, nos recomiendan que lo hagamos de la siguiente manera, es decir, debemos añadir a nuestro main.cf:

smtpd_tls_protocols = !SSLv2,!SSLv3,TLSv1,TLSv1.1,TLSv1.2
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_mandatory_ciphers = HIGH
smtpd_tls_exclude_ciphers = aNULL:eNULL:LOW:3DES:MD5:MEDIUM:EXP:PSK:DSS:RC4:SEED:ECDSA:CAMELLIA256-SHA
tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:AES256-SHA:CAMELLIA128-SHA:AES128-SHA

No lo he probado, debo decirlo, pero creo que merece que le echemos un ojo y veamos que tal se comportan nuestros servers. Por supuesto habiliten los logs a ver que tal se comporta. Para esto debemos poner las variables:

smtpd_tls_loglevel = 0
smtp_tls_loglevel = 0

A un valor mayor que 1, y hacemos un:

# tailf /var/log/mail.log | ccze

O en mi caso:

# tailf /var/log/postfix/mail.log | ccze

Así vemos los mensajes coloreados lo cual esclarece más la trazabilidad de errores/bugs…

NOTA: No olviden actualizar su versión de OpenSSL, que sino todo lo anterior será por gusto…

Un saludo y espero les sirva…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *