von am

Mit einer neuerlichen Sicherheitslücke in OpenSSL (Stichwort "Logjam") wurde die Mindestlänge des Diffie-Hellman-Keys auf 712 Bits erhöht.

...
A man-in-the-middle attacker may be able to downgrade vulnerable TLS connections using ephemeral Diffie-Hellman key exchange to 512-bit export-grade cryptography. [CVE-2015-4000]. On FreeBSD 10.1, the patch contains a countermeasure for clients by rejecting handshakes with DH parameters shorter than 768 bits.
...

MySQL bis 5.6 (und auch MariaDB 5.6) verwenden fix 512 Bits. Das ist ein Problem. Wenn wir also eine Replikation aufbauen und diese verschlüsselt erfolgen soll, dann kann einen das aktuell schnell zur Verzweiflung führen.

Ist FreeBSD auf dem aktuellen Stand (und das sollte es immer), dann wird eine SSL-Verbindung nicht mehr erfolgreich hergestellt, sofern nicht explizit eine Liste sicherer Cipher übergeben wird. Abhilfe schafft hier der Parameter '--ssl-cipher'.

Um dem Replikationsprozess eine Liste gültiger Cipher zu übergeben verwenden wir folgende Befehle:

STOP SLAVE;
CHANGE MASTER TO MASTER_SSL_CIPHER='AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA';
START SLAVE;

In phpMyAdmin setzen wir in der Datei config.inc.php den Parameter 'SSL_CIPHER' entsprechend. Auch den Abschnitt [client] in der /var/db/mysql/my.cnf solltest du entsprechend anpassen.

Zurück