Vamos a suponer que tenemos Apache como software que sirve las páginas o la aplicación web segura.
El problema
Algoritmos demasiado de HASH y CIFRADO van quedando obsoletos y presentan problemas conocidos. Algunos de esos problemas permiten interceptar comunicaciones o denegar el servicio.
Valoramos la situación
Hay un servicio llamado “server test” en la web ssllabs.com que nos da una puntuación del estado de tu servicio https. No olvides marcar que no quieres que el resultado aparezca en la lista pública.
La solución
Nuestra recomendación es que al habilitar SSL en nuestros servidores, busquemos todas las líneas de VirtualHost de tipo SSLProtocol y SSLCipherSuite y las sustituyamos por las siguientes:
ALERTA: primero haz una copia de esas lineas o duplícalas con su contenido actual y pon un "#" al principio de cada linea duplicada para que no tenga efecto.
Ahora si, recomendamos el siguiente contenido:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
Esta modificación se hace con un editor de ficheros como vim o nano sobre los ficheros que encontrarás bajo la carpeta /etc/apache2 o /etc/httpd.
Te proponemos el comando siguiente para localizar donde aparecen esas lineas:
grep -Er "SSLProtocol|SSLCipherSuite" /etc/apache/ /etc/httpd/ 2>/dev/null
Tras el cambio, hay que reiniciar el servicio. Normalmente con
systemctl restart httpd.service
systemctl restart apache.service
Valoración posterior
Volvemos a hacer el diagnostico
Puedes ver antes y despues el efecto consultando en “server test” de ssllabs.com el estado de tu servicio https.
Verificar HTTPS