# rm-rf.es | Administración de sistemas

Blog de un SysAdmin Unix, Gnu/Linux, Windows y lo que haga falta.

POODLE: deshabilitar SSLv3 en Postfix, Sendmail, Dovecot, Courier-imap

En la entrada anterior veíamos como deshabilitar SSLv3 en los servidores web Apache, Nginx, Lighttpd para protegernos de la vulnerabilidad crítica en SSL 3.0 POODLE. Ahora nos centramos en los servidores de correo (POP3, IMAP, SMTP) y vamos a ver como deshabilitarlo en Postfix, Sendmail, Dovecot y Courier-imap. Deshabilitar SSLv3 en Postfix Para quitar SSLv3 […]

POODLE: deshabilitar SSLv3 en Apache, Nginx, Lighttpd

Vamos a ver como deshabilitar SSLv3 en los servidores web más conocidos: Apache, Nginx y Lighttpd. Podéis ver los detalles de la vulnerabilidad en el post POODLE: vulnerabilidad crítica en SSL 3.0 Deshabilitar SSLv3 en Apache Para deshabilitar SSLv3 en el servidor web Apache debemos modificar la directiva SSLProtocol ofrecida por el módulo mod_ssl. Por […]

POODLE: vulnerabilidad crítica en SSL 3.0

Y seguimos con las vulnerabilidades críticas, tras los problemas de bash en las últimas semanas con las vulnerabilidades CVE-2014-6271 y CVE-2014-7169 ahora le toca el turno al protocolo SSL (OpenSSL no se salva, por supuesto) con una vulnerabilidad (CVE-2014-3566) detectada ayer 14 de octubre y que todavía está siendo investigada por Bodo Möller, Thai Duong […]

OpenSSL: SSL23_GET_SERVER_HELLO:unknown protocol

Con OpenSSL podemos comprobar el estado de una conexión SSL o si la configuración de un servidor web (Apache, IIS, Lighttpd, NginX…) es correcta, tanto a nivel de certificado como de listeners. El comando para lanzar una petición al servidor web es el siguiente: # openssl s_client -connect miservidorweb.com Podemos especificar un puerto distinto: # […]

Tomcat 7 HTTPS: APR y JSSE

Tomcat ofrece dos formas de trabajar con SSL: JSSE y APR. La implementación de SSL basada en JSSE forma parte del Java Runtime (desde la versión 1.4) mientras que con el conector nativo APR se utiliza el motor de OpenSSL. Por defecto, Tomcat 7 utiliza APR, cuya principal diferencia en la configuración respecto a JSSE […]

keytool error: java.lang.Exception: Failed to establish chain from reply

Este error puede ocurrir al importar un certificado SSL a un keystore: keytool error: java.lang.Exception: Failed to establish chain from reply En este caso ha sucedido al importar con el comando keytool un certificado SSL del cual previamente habíamos generado un Certificate Request (CSR) en un servidor de aplicaciones tomcat: # keytool -import -alias mikeystore […]

Cómo generar un SSL Certificate Request (CSR) en Tomcat

Estos son los pasos para generar un CSR (SSL Certificate Request) en Tomcat. Este tutorial se basa en la creación de un nuevo keystore. Lo primero es crear el keystore que almacenará el certificado y la private key. El comando a utilizar para todas las operaciones es keytool. Forzamos el tamaño de la private key […]

Encriptar y firmar documentos PDF directamente desde Alfresco

El AMP (Alfresco Module Package) Alfresco PDF Toolkit nos permite añadir una serie de funcionalidades extra al gestor documental Alfresco que nos permiten manipular y trabajar con documentos PDF. En nuestro caso las funciones que más nos han interesado han sido la de encriptar y firmar digitalmente documentos a golpe de click o regla/workflow. Alfresco […]

Redirigir tráfico http a https en Sun Java System Web Server

Vamos a ver como forzar la redirección de tráfico HTTP a HTTPS para una instancia web de Sun Java System Web Server o si fuera necesario únicamente para una sección concreta del website. Por seguridad es muy probable que queramos evitar que a un sitio web o partes del mismo se pueda acceder sin protocolo […]

Generar un certificado SSL con genkey (Red Hat Keypair Generation)

Hoy vamos a ver una alternativa a la generación de certificados SSL con OpenSSL. Genkey (Red Hat Keypair Generation) es un comando disponible como parte del paquete crypto-utils: # yum whatprovides */genkey Loaded plugins: fastestmirror, presto Loading mirror speeds from cached hostfile …. …. crypto-utils-2.4.1-24.2.el6.i686 : SSL certificate and key management utilities Repo : base […]