httpd não iniciará com SSLCipherSuite atualizado (POODLE)

Navegue suas respostas
1

Estou tentando atualizar as configurações de SSL para um servidor de teste executando o CentOS 6.4, mas depois de atualizar os conjuntos de criptografia SSL, o apache não será iniciado.

Local do arquivo de configuração: /etc/httpd/conf.d/ssl.conf .

Reinicie o comando como root: service httpd restart

Originalmente (obras): 

SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP

Atualizado (não funciona): 

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXP

Eu habilitei o httpd LogLevel para debug e abaixo está o que eu vejo. 

[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[info] Init: Seeding PRNG with 256 bytes of entropy
[info] Init: Generating temporary RSA private keys (512/1024 bits)
[info] Init: Generating temporary DH parameters (512/1024 bits)
[info] Init: Initializing (virtual) servers for SSL
(stops here)

Eu verifiquei a configuração do virtualhost neste servidor e ele apenas tem uma cópia do arquivo de configuração do servidor de produção. Não tenho certeza se é relevante.

Alguma ideia de como resolver esse problema? Em uma nota lateral, é necessário atualizar os dois SSLProtocol e SSLCipherSuite ?

    
por musicliftsme 29.10.2014 / 17:41

1 resposta

4

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXP

A desativação dos conjuntos de criptografia SSLv2 e SSLv3 desativa efetivamente todos os conjuntos de criptografia necessários para SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1, porque o TLS 1.0 e o TLS 1.1 não definiram nenhum novo recurso de criptografia. Como o CentOS 6.4 inclui apenas o OpenSSL 1.0.0, que ainda não suporta o TLS1.2, você fica sem nenhuma cifra.

Por favor, restrinja a correção POODLE para SSLProtocol e deixe as cifras sozinhas. Os problemas com o POODLE não são falhas nas cifras, mas no próprio protocolo.

    
por 29.10.2014 / 18:30

Tags

Como encontrar todos os arquivos no diretório a partir de uma data específica (não há dias atrás) como one-liner? É seguro mover “ACCEPT state RELACIONADO, ESTABELECIDO” para o topo?