Wydaje się, że wszyscy dzisiaj mówią o podatności na POODLE . I wszyscy zalecają wyłączenie SSLv3 w Apache przy użyciu następującej dyrektywy konfiguracyjnej:
SSLProtocol All -SSLv2 -SSLv3
zamiast domyślnego
SSLProtocol All -SSLv2
Zrobiłem to i nie mam radości - po wielokrotnych testach z różnymi narzędziami ( tutaj jest szybkie ), stwierdzam, że mój serwer chętnie akceptuje SSLv3.
Tak, zrestartowałem Apache. Tak, zrobiłem rekursywny grep
dla wszystkich plików konfiguracyjnych i nigdzie nie mam nadpisania. I nie, nie używam jakiejś starożytnej wersji Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Co więc daje? Jak można naprawdę wyłączyć SSLv3 w Apache?
ssl
apache-httpd
Bogdan Stăncescu
źródło
źródło
Odpowiedzi:
Miałem ten sam problem ... Musisz uwzględnić
SSLProtocol all -SSLv2 -SSLv3
w każdej sekcji VirtualHost w httpd.confSekcje VirtualHost znajdują się zazwyczaj pod koniec pliku httpd.conf. Na przykład:
Sprawdź także ssl.conf lub httpd-ssl.conf lub podobny, ponieważ można je tam ustawić, niekoniecznie w httpd.conf
źródło
SSLProtocol
skonfigurowany poza sekcjami VirtualHost będzie miał zastosowanie do wszystkich wirtualnych hostów.nmap -sV --script ssl-enum-ciphers -p 443 <hostname>
.SSLProtocol
systemu bez konieczności edytowania każdego VirtualHost?Miałem ten sam problem na Ubuntu 14.04. Po przeczytaniu tego zredagowałem sekcję „SSLProtocol” w
/etc/apache2/mods-available/ssl.conf
.SSLProtocol all
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
Ale to nie zadziałało. Dlatego też edytowałem następującą sekcję „SSLCipherSuite” w
/etc/apache2/mods-available/ssl.conf
.SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
A teraz to działa dla mnie.
Nawiasem mówiąc, na zestawy szyfrów nie ma wpływu POODLE, tylko protokół - ale większość przeglądarek jest zgodna z wyłączonym pakietem szyfrów SSLv3.
Nie używaj tego do serwera pocztowego! Albo napotkasz (być może) problem z niemożnością pobrania wiadomości e-mail na niektórych urządzeniach.
źródło
Dla Ubuntu 10.04
Aby wyłączyć SSLv3 na wszystkich aktywnych vhostach, potrzebujesz tej opcji w
/etc/apache2/mods-available/ssl.conf:
źródło
Miałem podobny problem dziś rano i znalazłem inny wirtualny host obsługujący SSLv3, więc cały serwer odpowiada na połączenia SSLv3.
Upewnij się, że żaden z Twoich hostów nie ma aktywnego protokołu SSLv3.
źródło
Upewnij się, że SSLCipherSuite nie zawiera! SSLv3. W tym kontekście odnosi się również do TLS1.0 i TLS1.1.
Na przykład, jeśli twoja konfiguracja to SSLProtocol All , tylko TLS1.2 będzie dostępny z powodu konfiguracji SSLCipherSuite z! SSLv3.
źródło
W przypadku użytkowników CentO, którzy mają problemy z edycją pliku konfiguracyjnego SSL przez SSH, spróbuj wyłączyć SSLv3 przez WHM :
Krok 1: Przejdź do edytora dołączania
-Zaloguj się do WHM -Otwórz ekran „Konfiguracja Apache” i kliknij „Dołącz edytor”
Krok 2: Edytuj dołączenia
- W „Pre Main Include” wybierz „All Versions”. W ten sposób twój serwer będzie chroniony, jeśli zmienisz swoją wersję Apache. Po wybraniu wprowadź następujące informacje w polu tekstowym:
W CentOS / RHEL 6.x:
SSLHonorCipherOrder On
SSLProtocol -All + TLSv1 + TLSv1.1 + TLSv1.2
W CentOS / RHEL 5.x:
SSLHonorCipherOrder On
SSLProtocol -All + TLSv1
… A następnie kliknij Aktualizuj .
Po kliknięciu aktualizacji pojawi się monit o ponowne uruchomienie Apache; zrób to w tej chwili.
oryginalne źródło: https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/
źródło
Metodą, której używasz, jest nowa wersja Apache i openssl. Możliwe, że nowa wersja nie została zainstalowana w systemie, sprawdź aktualną zainstalowaną wersję.
Ponieważ
SSLv2
iSSLv3
oba są wrażliwe na niektóre ataki, lepiej byłoby używać tylko TLS. Więc zmodyfikuj plik conf Apache w następujący sposób,lub
źródło
Miałem podobny problem i sprawdziłem, czy wszystkie prawidłowe ustawienia apache są prawidłowe.
Jednak brakowało mi to, że miałem nginx jako odwrotne proxy przed apache. Zdarza się również, że używam Plesk, a to z ich przewodnika po poprawkach POODLE :
źródło