Ændring af support af TLS/SSL Ciphers per 1. februar i test og 1.marts i prod

Started by Søren Kröger, 2021-01-11 16:02:59

Previous topic - Next topic

Søren Kröger

For at opretholde et højt sikkerhedsniveau i FMK rettes listen af supporterede ciphers på alle FMK endpoints til følgende:

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
SSL_ECDHE_RSA_WITH_AES_256_GCM_SHA384
SSL_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SSL_ECDHE_RSA_WITH_AES_128_GCM_SHA256
SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256
SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA
SSL_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_AES_128_GCM_SHA256

Ændringen gennemføres den 1. februar på test miljøerne og 1. marts på alle endpoints i prod.

Mikkel Andersen

Hej. Jeg synes stadig det er muligt at gennemføre requests til FMK på TEST2 uden de nævnte ciphers. Er det implementeret?

/Mikkel Andersen

Søren Kröger

Hej Mikkel

jeg har fået det bekræftet af driftleverandøren at de gamle ciphers er blevet fjerne og ssllabs.com viser det samme (se vedhæftet output).

Vh
Søren

Mikkel Andersen

Hej Søren.

Jeg kan se at det er nogle andre test endpoints der står i rapporten end dem vi bruger til FMK api'et. Er det kun browserbaseret adgang, altså FMK-online der lukkes for?

Her er nemlig et kald jeg har lavet til  test2-cnsp.ekstern-test.nspop.dk:8443   som går fint igennem - uden brug af de nævnte Ciphers eller TLS niveau.

Version: 3.1 (TLS/1.0)
Random: 60 36 7A 02 EC 4E CB EB AD A2 0D 93 C5 66 2E 51 E3 E6 C3 A5 C3 40 EA 15 86 E0 B8 99 17 5D 27 E6
"Time": 27-04-1971 03:29:04
SessionID: empty
Extensions:
   ec_point_formats   uncompressed [0x0], ansiX962_compressed_prime [0x1], ansiX962_compressed_char2 [0x2]
   supported_groups   sect163k1 [0x1], sect163r1 [0x2], sect163r2 [0x3], sect193r1 [0x4], sect193r2 [0x5], sect233k1 [0x6], sect233r1 [0x7], sect239k1 [0x8], sect283k1 [0x9], sect283r1 [0xa], sect409k1 [0xb], sect409r1 [0xc], sect571k1 [0xd], sect571r1 [0xe], secp160k1 [0xf], secp160r1 [0x10], secp160r2 [0x11], secp192k1 [0x12], secp192r1 [0x13], secp224k1 [0x14], secp224r1 [0x15], secp256k1 [0x16], secp256r1 [0x17], secp384r1 [0x18], secp521r1 [0x19]
   SessionTicket   empty
Ciphers:
   [C014]   TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
   [C00A]   TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
   [0039]   TLS_DHE_RSA_WITH_AES_256_CBC_SHA
   [0038]   TLS_DHE_DSS_WITH_AES_256_CBC_SHA
   [C00F]   TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
   [C005]   TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
   [0035]   TLS_RSA_WITH_AES_256_CBC_SHA
   [0088]   TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
   [0087]   TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA
   [0084]   TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
   [C012]   TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
   [C008]   TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
   [0016]   SSL_DHE_RSA_WITH_3DES_EDE_SHA
   [0013]   SSL_DHE_DSS_WITH_3DES_EDE_SHA
   [C00D]   TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
   [C003]   TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
   [000A]   SSL_RSA_WITH_3DES_EDE_SHA
   [C013]   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
   [C009]   TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
   [0033]   TLS_DHE_RSA_WITH_AES_128_CBC_SHA
   [0032]   TLS_DHE_DSS_WITH_AES_128_CBC_SHA
   [C00E]   TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
   [C004]   TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
   [002F]   TLS_RSA_WITH_AES_128_CBC_SHA
   [009A]   TLS_DHE_RSA_WITH_SEED_CBC_SHA
   [0099]   TLS_DHE_DSS_WITH_SEED_CBC_SHA
   [0045]   TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
   [0044]   TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA
   [0096]   TLS_RSA_WITH_SEED_CBC_SHA
   [0041]   TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
   [0007]   SSL_RSA_WITH_IDEA_SHA
   [C011]   TLS_ECDHE_RSA_WITH_RC4_128_SHA
   [C007]   TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
   [C00C]   TLS_ECDH_RSA_WITH_RC4_128_SHA
   [C002]   TLS_ECDH_ECDSA_WITH_RC4_128_SHA
   [0005]   SSL_RSA_WITH_RC4_128_SHA
   [0004]   SSL_RSA_WITH_RC4_128_MD5
   [0015]   SSL_DHE_RSA_WITH_DES_SHA
   [0012]   SSL_DHE_DSS_WITH_DES_SHA
   [0009]   SSL_RSA_WITH_DES_SHA
   [0014]   SSL_DHE_RSA_EXPORT_WITH_DES40_SHA
   [0011]   SSL_DHE_DSS_EXPORT_WITH_DES40_SHA
   [0008]   SSL_RSA_EXPORT_WITH_DES40_SHA
   [0006]   SSL_RSA_EXPORT_WITH_RC2_40_MD5
   [0003]   SSL_RSA_EXPORT_WITH_RC4_40_MD5
   [00FF]   TLS_EMPTY_RENEGOTIATION_INFO_SCSV

Compression:
   [01]   DEFLATE
   [00]   NO_COMPRESSION


Søren Kröger

Hej Mikkel

test2.fmk.netic.dk er det direkte til FMK endpoint - den bruges til FMK, DDV og FMK-Online.
Ændringen på ciphers og TLS vedrører både FMK, DDV og FMK-Online (m.m.) (også i prod).

Det endpoint du tester på tilhører dog NSP, som ikke hører under FMK projektet - jeg opdaterer lige den support sag som du har oprettet, sådan at NSP folkene kan tage et kig på deres opsætning.

Vh
Søren