Como desabilitar o SSLv2 para o httpd do Apache

8

Acabei de testar meu site no link e ele disse que SSLv2 é inseguro e eu deveria desativá-lo junto com os Conjuntos de Cifras fracos.

Como posso desativar isso? Eu tentei o seguinte, mas não está funcionando.

  1. Foi para /etc/httpd/conf.d/ssl.conf por ftp. Adicionado

    SSLProtocol -ALL +SSLv3 +TLSv1
    SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    
  2. Conectado ao servidor por putty e deu o comando service httpd restart .

Mas ainda está mostrando inseguro no site. Como posso consertar isso? Meu servidor é o Plesk 10.3.1 CentOS. Existem 3-4 sites no mesmo servidor.

    
por Yahoo 04.08.2012 / 09:49

4 respostas

10

Altere as linhas SSLProtocol e SSLCipherSuite para

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Recarregue seu apache para que a configuração entre em vigor.

O SSLHonorCipherOrder On tentará as cifras na ordem especificada.

Acima da configuração passa a verificação em ssllabs.com exceto na versão TLS. Meu CentOS 6 suporta apenas o TLS 1.0 por causa do OpenSSL 1.0.0. O OpenSSL 1.0.1 suporta o TLS 1.1 e 1.2.

Você tem algum balanceador de carga ou proxy na frente do seu apache?

    
por 12.08.2012 / 08:55
3

Você pode querer ter certeza de que não há outro SSLProtocol ou SSLCiperSuite direcive em qualquer lugar da sua configuração do Apache que esteja substituindo a que você acabou de adicionar.

Se você não conseguir encontrá-lo, tente adicionar esses dois ao seu vhost SSL em vez de ssl.conf . Isso ajudará a garantir que os corretos sejam os últimos aplicados.

    
por 04.08.2012 / 09:53
0

O que funcionou para mim

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

Tente este aqui.

    
por 04.05.2015 / 18:30
-2

Para desativar o SSL no Centos6.x Basta executar o seguinte comando:

yum remove mod_ssl

Então

serviço httpd reload

Para ativar o SSL novamente, instale o pacote "mod_ssl" como:

yum instala mod_ssl

Então

serviço httpd reload

    
por 20.02.2015 / 22:45