Author Topic: Ændring af support af TLS/SSL Ciphers per 1. februar i test og 1.marts i prod  (Read 496 times)

Søren Kröger

  • Administrator
  • *****
  • Posts: 33
    • View Profile
For at opretholde et højt sikkerhedsniveau i FMK rettes listen af supporterede ciphers på alle FMK endpoints til følgende:

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
SSL_ECDHE_RSA_WITH_AES_256_GCM_SHA384
SSL_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SSL_ECDHE_RSA_WITH_AES_128_GCM_SHA256
SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256
SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA
SSL_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_AES_128_GCM_SHA256

Ændringen gennemføres den 1. februar på test miljøerne og 1. marts på alle endpoints i prod.

Mikkel Andersen

  • FMK-teknik user
  • *
  • Posts: 14
    • View Profile
Hej. Jeg synes stadig det er muligt at gennemføre requests til FMK på TEST2 uden de nævnte ciphers. Er det implementeret?

/Mikkel Andersen

Søren Kröger

  • Administrator
  • *****
  • Posts: 33
    • View Profile
Hej Mikkel

jeg har fået det bekræftet af driftleverandøren at de gamle ciphers er blevet fjerne og ssllabs.com viser det samme (se vedhæftet output).

Vh
Søren

Mikkel Andersen

  • FMK-teknik user
  • *
  • Posts: 14
    • View Profile
Hej Søren.

Jeg kan se at det er nogle andre test endpoints der står i rapporten end dem vi bruger til FMK api'et. Er det kun browserbaseret adgang, altså FMK-online der lukkes for?

Her er nemlig et kald jeg har lavet til  test2-cnsp.ekstern-test.nspop.dk:8443   som går fint igennem - uden brug af de nævnte Ciphers eller TLS niveau.

Version: 3.1 (TLS/1.0)
Random: 60 36 7A 02 EC 4E CB EB AD A2 0D 93 C5 66 2E 51 E3 E6 C3 A5 C3 40 EA 15 86 E0 B8 99 17 5D 27 E6
"Time": 27-04-1971 03:29:04
SessionID: empty
Extensions:
   ec_point_formats   uncompressed [0x0], ansiX962_compressed_prime [0x1], ansiX962_compressed_char2 [0x2]
   supported_groups   sect163k1 [0x1], sect163r1 [0x2], sect163r2 [0x3], sect193r1 [0x4], sect193r2 [0x5], sect233k1 [0x6], sect233r1 [0x7], sect239k1 [0x8], sect283k1 [0x9], sect283r1 [0xa], sect409k1 [0xb], sect409r1 [0xc], sect571k1 [0xd], sect571r1 [0xe], secp160k1 [0xf], secp160r1 [0x10], secp160r2 [0x11], secp192k1 [0x12], secp192r1 [0x13], secp224k1 [0x14], secp224r1 [0x15], secp256k1 [0x16], secp256r1 [0x17], secp384r1 [0x18], secp521r1 [0x19]
   SessionTicket   empty
Ciphers:
   [C014]   TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
   [C00A]   TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
   [0039]   TLS_DHE_RSA_WITH_AES_256_CBC_SHA
   [0038]   TLS_DHE_DSS_WITH_AES_256_CBC_SHA
   [C00F]   TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
   [C005]   TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
   [0035]   TLS_RSA_WITH_AES_256_CBC_SHA
   [0088]   TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
   [0087]   TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA
   [0084]   TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
   [C012]   TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
   [C008]   TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
   [0016]   SSL_DHE_RSA_WITH_3DES_EDE_SHA
   [0013]   SSL_DHE_DSS_WITH_3DES_EDE_SHA
   [C00D]   TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
   [C003]   TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
   [000A]   SSL_RSA_WITH_3DES_EDE_SHA
   [C013]   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
   [C009]   TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
   [0033]   TLS_DHE_RSA_WITH_AES_128_CBC_SHA
   [0032]   TLS_DHE_DSS_WITH_AES_128_CBC_SHA
   [C00E]   TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
   [C004]   TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
   [002F]   TLS_RSA_WITH_AES_128_CBC_SHA
   [009A]   TLS_DHE_RSA_WITH_SEED_CBC_SHA
   [0099]   TLS_DHE_DSS_WITH_SEED_CBC_SHA
   [0045]   TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
   [0044]   TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA
   [0096]   TLS_RSA_WITH_SEED_CBC_SHA
   [0041]   TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
   [0007]   SSL_RSA_WITH_IDEA_SHA
   [C011]   TLS_ECDHE_RSA_WITH_RC4_128_SHA
   [C007]   TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
   [C00C]   TLS_ECDH_RSA_WITH_RC4_128_SHA
   [C002]   TLS_ECDH_ECDSA_WITH_RC4_128_SHA
   [0005]   SSL_RSA_WITH_RC4_128_SHA
   [0004]   SSL_RSA_WITH_RC4_128_MD5
   [0015]   SSL_DHE_RSA_WITH_DES_SHA
   [0012]   SSL_DHE_DSS_WITH_DES_SHA
   [0009]   SSL_RSA_WITH_DES_SHA
   [0014]   SSL_DHE_RSA_EXPORT_WITH_DES40_SHA
   [0011]   SSL_DHE_DSS_EXPORT_WITH_DES40_SHA
   [0008]   SSL_RSA_EXPORT_WITH_DES40_SHA
   [0006]   SSL_RSA_EXPORT_WITH_RC2_40_MD5
   [0003]   SSL_RSA_EXPORT_WITH_RC4_40_MD5
   [00FF]   TLS_EMPTY_RENEGOTIATION_INFO_SCSV

Compression:
   [01]   DEFLATE
   [00]   NO_COMPRESSION


Søren Kröger

  • Administrator
  • *****
  • Posts: 33
    • View Profile
Hej Mikkel

test2.fmk.netic.dk er det direkte til FMK endpoint - den bruges til FMK, DDV og FMK-Online.
Ændringen på ciphers og TLS vedrører både FMK, DDV og FMK-Online (m.m.) (også i prod).

Det endpoint du tester på tilhører dog NSP, som ikke hører under FMK projektet - jeg opdaterer lige den support sag som du har oprettet, sådan at NSP folkene kan tage et kig på deres opsætning.

Vh
Søren