Não é possível desabilitar o SSLv3 no Apache 2.4.18

0

Um dos meus clientes queria que eu atualizasse o openssl e o Apache em seu servidor, porque ele deseja receber um A do SSLLabs. Eu fui em frente e atualizei para o Apache 2.4.18 e openssl para a versão 1.0.2e. Em seguida, modifiquei a configuração SSL do Apache para corresponder ao seguinte:

# SSL Protocols/Ciphers
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256::kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLCompression off

Eu executei um Teste SSL no SSL Labs e ainda recebo o seguinte aviso:

This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.

Na lista de protocolos, diz SIM para SSL 3, mesmo se a declaração acima disser que deve ser desativada.

Eu tentei muitas combinações de cifras pesquisando na web e sempre obtive o mesmo resultado. Eu também procurei em qualquer arquivo * .conf por uma configuração SSL, mas não há nenhum exceto meu arquivo SSL acima.

O URL do site: link

Laboratórios SSL: link

    
por David Bélanger 21.01.2016 / 17:13

1 resposta

1

Unable to disable SSLv3 in Apache 2.4.18
...
SSLProtocol All -SSLv2 -SSLv3

Tente:

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

Veja também Módulo Apache mod_ssl | SSLProtocol no manual.

    
por 13.02.2016 / 10:57