Come aumentare il livello di sicurezza della connessione SSL

Quando si acquista un certificato SSL e lo si installa sul proprio server virtuale o dedicato, se si lancia la scansione sul web tool: https://cryptoreport.thawte.com/checker/views/certCheck.jsp, il report segnala il seguente avviso:
“The server is vulnerable to a BEAST attack”




Perché accade
Questo non è da considerarsi una limitazione del certificato scelto oppure del server. Accade perché nel server generalmente sono abilitati tutti i protocolli di cifratura, compresi quelli più vecchi e meno sicuri che comunque il certificato installato supporta per garantire retro compatibilità in casi d’uso particolari.

Soluzione
A seconda del sistema operativo, e del web server installato, ci sono varie soluzioni per poter aumentare il livello di sicurezza della connessione SSL eliminando quei protocolli non più sicuri e limitare l’utilizzo del proprio certificato SSL solamente su quelli più sicuri.

Linux Apache:
Editare il file che si trova in /etc/apache2/mods-available/ssl.conf, e aggiungere o modificare i seguenti valori, e riavviare apache:

 #   The protocols to enable.

 SSLProtocol all

 SSLHonorCipherOrder on

 SSLCipherSuite ALL:+HIGH:!ADH:!EXP:!SSLv2:!SSLv3:!MEDIUM:!LOW:!NULL:!aNULL

 SSLCompression off

 SSLSessionTickets off

Linux Nginx 
Editare il file di configurazione del virtual host del sito che si trova in /etc/nginx/sites-available/*.conf, e aggiungere o modificare i seguenti valori, nella sezione server{}, e riavviare Nginx:

 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

 ssl_ciphers 'ALL:+HIGH:!ADH:!EXP:!SSLv2:!SSLv3:!MEDIUM:!LOW:!NULL:!aNULL';

 ssl_session_cache shared:SSL:1m;

 ssl_session_timeout 10m;

 ssl_prefer_server_ciphers on;

Linux Plesk:
Collegarsi in ssh sul server e da shell lanciare il seguente commando:

plesk sbin pci_compliance_resolver --enable all

La spiegazione completa si trova nella Knowledge base di Plesk:
https://docs.plesk.com/en-US/onyx/advanced-administration-guide-linux/pci-dss-compliance/tune-plesk-to-meet-pci-dss-on-linux.65871/


Windows con o senza Plesk:
Scaricare dal seguente Indirizzo il tool IISCrypto della NartacSoftware:
https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe
Questo software ci consentirà di andare a modificare in maniere visuale le impostazioni di IIS senza modificare manualmente le chiavi di registro di windows.

Cambiare le impostazioni come da schermata seguente, premere APPLY e riavviare il sistema:




Quando si imposta la giusta configurazione si può provare nuovamente a lanciare la scansione sul web tool: https://cryptoreport.thawte.com/checker/views/certCheck.jsp  e il risultato non segnalerà più warning o Information di eventuali vulnerabilità.