<div dir="ltr">This was fun...<div><br></div><div>I found a subdomain's vhost was allowing RC4, and fixing that the RC4 alert go away for scanning the main site. I think this might be an issue with the way the Qualys scanner works. Thank you all for helping & kudos to Scott Larson for putting up with me :)</div><div><br></div><div>-jkl</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 17, 2014 at 7:41 PM, Scott Larson <span dir="ltr"><<a href="mailto:stl@wiredrive.com" target="_blank">stl@wiredrive.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">     Just to be thorough, are you sure nginx is actually using the config file that you think it is? If we’re talking about your personal domain I see TLS 1.0 and SSL 3.0 available which in this snippet you have not enabled. This behavior isn’t something I’m able to replicate with the 1.7.6/1.0.1i combo.<div><span class=""><br><div>
<div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);font-family:Helvetica;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><b style="color:rgb(25,25,25)"><div style="color:rgb(0,0,0);font-weight:normal"><b style="color:rgb(25,25,25)"><font face="Lucida Grande"><div style="color:rgb(0,0,0);font-weight:normal"><b style="font-family:Helvetica;font-size:12px;color:rgb(25,25,25)"><div style="color:rgb(0,0,0);font-weight:normal"><b style="color:rgb(25,25,25)"><div style="color:rgb(0,0,0);font-weight:normal"><span style="color:rgb(25,25,25);font-weight:bold">__________________</span></div><div style="color:rgb(0,0,0);font-weight:normal"><div style="margin:0px"><font color="#191919"><b><br></b></font></div><div style="margin:0px"><font color="#191919"><b>Scott Larson</b></font></div><div style="margin:0px"><div style="margin:0px"><font color="#007EFD"><span style="color:rgb(0,0,0)"><div style="margin:0px"><font color="#191919"><b><div style="margin:0px;font-weight:normal;color:rgb(120,120,120)"><span style="color:rgb(25,25,25)"><b><div style="margin:0px;font-weight:normal;color:rgb(120,120,120)">Systems Administrator</div></b></span></div><div style="margin:0px;font-weight:normal;min-height:8px"><br></div><div style="margin:0px;font-weight:normal"><b>Wiredrive/LA</b></div><div style="margin:0px;font-weight:normal"><a href="tel:310%20823%208238%20ext.%201106" value="+13108238238" target="_blank">310 823 8238 ext. 1106</a></div><div style="margin:0px;font-weight:normal"><a href="tel:310%20943%202078" value="+13109432078" target="_blank">310 943 2078</a> fax</div></b></font></div><div style="margin:0px"><font color="#2498FC"><a href="http://www.wiredrive.com/" target="_blank">www.wiredrive.com</a></font></div><div style="margin:0px"><font color="#2498FC"><span style="color:rgb(0,0,0)"><div style="margin:0px;color:rgb(120,120,120)"><div style="margin:0px"><a href="http://www.twitter.com/wiredrive" target="_blank"><font color="#2498FC">www.twitter.com/wiredrive</font></a></div><div style="margin:0px"><font color="#2498FC"><a href="http://www.wiredrive.com/facebook" target="_blank">www.facebook.com/wiredrive</a></font></div></div></span></font></div></span></font></div></div></div></b></div></b></div></font></b></div></b></div></div></div></div></div></div></div>
</div>
<br></span><div><div class="h5"><div><blockquote type="cite"><div>On Oct 17, 2014, at 4:28 PM, Jessica Litwin <<a href="mailto:jessica@litw.in" target="_blank">jessica@litw.in</a>> wrote:</div><br><div><div dir="ltr">using openssl101j, I get the same results with  the following in both my vhost config and nginx.conf <div><br></div><div><div>    ssl_protocols TLSv1.2 TLSv1.1;</div><div>    ssl_ciphers EECDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AESGCM:EDH+aRSA+AES:DES-CB</div><div>C3-SHA:!EXP:!CAMELLIA:!DSS:!MEDIUM:!LOW:!aNULL:!eNULL:!RC4;</div><div>    ssl_prefer_server_ciphers on;</div></div><div><br></div><div><span style="font-family:Arial,Helvetica,sans-serif;font-size:12px;font-weight:bold;line-height:21.6000003814697px;text-align:center;background-color:rgb(255,207,121)">RC4 cipher is used with TLS 1.1 or newer protocols, even though stronger ciphers are available. </span><br></div><div><span style="font-family:Arial,Helvetica,sans-serif;font-size:12px;font-weight:bold;line-height:21.6000003814697px;text-align:center;background-color:rgb(255,207,121)"><br></span></div><div>What the hell am I doing wrong? </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 17, 2014 at 6:14 AM, itpp2012 <span dir="ltr"><<a href="mailto:nginx-forum@nginx.us" target="_blank">nginx-forum@nginx.us</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Scott Larson Wrote:<br>
-------------------------------------------------------<br>
<span>> Something else must be going on here. Looking at your ssl_cipher<br>
> string, you're opening with a rough declaration of specific ciphers<br>
> you'll<br>
> support, none of which should pull in RC4. It's specific enough in<br>
> fact<br>
> that your subsequent excluded ciphers don't even come into play. To<br>
> test<br>
> this I switched in my old RSA cert, rebuilt 1.7.6 against OpenSSL<br>
> 1.0.1j,<br>
<br>
</span>Which is why I said try 101j, between 101e and j there are big differences<br>
when it comes to invalid fallbacks.<br>
Not even mentioning using 101e is asking to be hacked.<br>
<br>
Posted at Nginx Forum: <a href="http://forum.nginx.org/read.php?2,254028,254092#msg-254092" target="_blank">http://forum.nginx.org/read.php?2,254028,254092#msg-254092</a><br>
<div><div><br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Jessica K. Litwin<div><a href="http://jessicalitwin.com/" target="_blank">jessicalitwin.com</a><div><div>twitter: press5<br>aim: press5key<br>skype: dr_jkl</div></div></div></div>
</div>
_______________________________________________<br>nginx mailing list<br><a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br><a href="http://mailman.nginx.org/mailman/listinfo/nginx" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a></div></blockquote></div><br></div></div></div></div><br>_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Jessica K. Litwin<div><a href="http://jessicalitwin.com" target="_blank">jessicalitwin.com</a><div><div>twitter: press5<br>aim: press5key<br>skype: dr_jkl</div></div></div></div>
</div>