Como desabilitar o SSLv2 para o httpd do Apache

Question

Como desabilitar o SSLv2 para o httpd do Apache

#1 resposta do (10 votos)
#2 resposta do (3 votos)
#3 resposta do (0 votos)
#4 resposta do (-2 votos)

8

Acabei de testar meu site no link e ele disse que SSLv2 é inseguro e eu deveria desativá-lo junto com os Conjuntos de Cifras fracos.

Como posso desativar isso? Eu tentei o seguinte, mas não está funcionando.

Foi para /etc/httpd/conf.d/ssl.conf por ftp. Adicionado

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

Conectado ao servidor por putty e deu o comando service httpd restart .

Mas ainda está mostrando inseguro no site. Como posso consertar isso? Meu servidor é o Plesk 10.3.1 CentOS. Existem 3-4 sites no mesmo servidor.

ssl mod-ssl apache-2.2 centos pci-dss

por Yahoo 04.08.2012 / 09:49

4 respostas

Tags ssl mod-ssl apache-2.2 centos pci-dss

/ etc / fstab pular erro ssl verificação de certificado de cliente falha no nginx

score 10 · Answer 1

Altere as linhas SSLProtocol e SSLCipherSuite para

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Recarregue seu apache para que a configuração entre em vigor.

O SSLHonorCipherOrder On tentará as cifras na ordem especificada.

Acima da configuração passa a verificação em ssllabs.com exceto na versão TLS. Meu CentOS 6 suporta apenas o TLS 1.0 por causa do OpenSSL 1.0.0. O OpenSSL 1.0.1 suporta o TLS 1.1 e 1.2.

Você tem algum balanceador de carga ou proxy na frente do seu apache?

score 3 · Answer 2

Você pode querer ter certeza de que não há outro SSLProtocol ou SSLCiperSuite direcive em qualquer lugar da sua configuração do Apache que esteja substituindo a que você acabou de adicionar.

Se você não conseguir encontrá-lo, tente adicionar esses dois ao seu vhost SSL em vez de ssl.conf . Isso ajudará a garantir que os corretos sejam os últimos aplicados.

score 0 · Answer 3

O que funcionou para mim

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

Tente este aqui.

score -2 · Answer 4

Para desativar o SSL no Centos6.x Basta executar o seguinte comando:

yum remove mod_ssl

Então

serviço httpd reload

Para ativar o SSL novamente, instale o pacote "mod_ssl" como:

yum instala mod_ssl

Então

serviço httpd reload