Unable to disable SSLv3 in Apache 2.4.18
...SSLProtocol All -SSLv2 -SSLv3
Tente:
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
Veja também Módulo Apache mod_ssl | SSLProtocol no manual.
Um dos meus clientes queria que eu atualizasse o openssl e o Apache em seu servidor, porque ele deseja receber um A do SSLLabs. Eu fui em frente e atualizei para o Apache 2.4.18 e openssl para a versão 1.0.2e. Em seguida, modifiquei a configuração SSL do Apache para corresponder ao seguinte:
# SSL Protocols/Ciphers
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256::kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLCompression off
Eu executei um Teste SSL no SSL Labs e ainda recebo o seguinte aviso:
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.
Na lista de protocolos, diz SIM para SSL 3, mesmo se a declaração acima disser que deve ser desativada.
Eu tentei muitas combinações de cifras pesquisando na web e sempre obtive o mesmo resultado. Eu também procurei em qualquer arquivo * .conf por uma configuração SSL, mas não há nenhum exceto meu arquivo SSL acima.
O URL do site: link
Laboratórios SSL: link
Unable to disable SSLv3 in Apache 2.4.18
...SSLProtocol All -SSLv2 -SSLv3
Tente:
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
Veja também Módulo Apache mod_ssl | SSLProtocol no manual.
Tags ssl openssl apache-http-server