Desabilitando o protocolo SSLv3 e SSLv2 no meu servidor Ubuntu 14.04

1

Instalei recentemente um certificado SSL no meu servidor. Então experimentei esta ferramenta para testar meu certificado SSL recém-instalado no meu servidor e ver se não há problema.

Descobriu-se que há um problema com o protocolo SSL 3 , dizendo que ele é inseguro devido à vulnerabilidade do ataque POODLE.

A página sugere desativar o SSL 3 para atenuá-lo.

Então pesquisei na Internet como desabilitar * SSLv3 e SSLv2 ** no servidor Apache 2.4.

Eu encontrei vários tutoriais que dizem ... para desativar SSLv3 e SSLv2 no meu servidor Ubuntu 14.04 com o Apache 2.4, eu tenho que editar todas as instâncias de SSLProtocol all em todos os arquivos dentro de /etc/apache2 e altere para SSLProtocol all -SSLv2 -SSLv3 .

Já fiz o seguinte, mas a Ferramenta de teste de servidor SSL do SSL Lab ainda relata o mesmo problema.

Já adicionei isso a todo o meu vhost e todo o arquivo de configuração que possui SSLProtocol ...

SSLProtocol all -SSLv2 -SSLv3

Sobre a configuração do meu servidor

No meu servidor, configurei Pound Proxy com Varnish Cache .

Eu fiz isso porque o Varnish não é capaz de usar o HTTPS, e por isso eu configurei Pound e usei o Varnish como back-end.

A configuração está funcionando bem, o Varnish está fazendo cache em HTTPS.

Meu certificado SSL foi instalado corretamente. Confirmei o uso de ferramentas on-line da Digicert e do SSL Labs.

Os arquivos SSL Pem usados com Pound contêm informações extraídas de .key , .crt e CA.pem .

Meus detalhes do servidor

Abaixo estão alguns detalhes sobre o meu servidor. Ele hospeda uma única instância do Wordpress, está em produção.

Portas

  • Apache - na porta 8080
  • Apache ports.conf e sites-available/myvhost.conf -

    <IfModule mod_ssl.c>
        Listen 9443
    
  • Apache

  • Backend de verniz - porta 8080
  • Varnish .vcl - DAEMON_OPTS="- a: 80"
  • A libra escuta na porta 443, configurada usando ListenHTTPS

O servidor é provisionado usando o Tuxlite , que baixei da seguinte página:

https://github.com/Mins/TuxLite

Saída de lançamento do LSB:

Distributor ID: Ubuntu
Description:    Ubuntu 14.04.2 LTS
Release:    14.04
Codename:   trusty

Saída do Apache:

Server version: Apache/2.4.7 (Ubuntu)
Server built:   Mar 10 2015 13:05:59
Server's Module Magic Number: 20120211:27
Server loaded:  APR 1.5.1-dev, APR-UTIL 1.5.3
Compiled using: APR 1.5.1-dev, APR-UTIL 1.5.3
Architecture:   64-bit
Server MPM:     event
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/etc/apache2"
 -D SUEXEC_BIN="/usr/lib/apache2/suexec"
 -D DEFAULT_PIDLOG="/var/run/apache2.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="mime.types"
 -D SERVER_CONFIG_FILE="apache2.conf"

Saída em libra:

starting...
Version 2.6
  Configuration switches:
    --enable-cert1l
Exiting...

Versão do verniz:

varnishd (varnish-4.0.3 revision b8c4a34)
Copyright (c) 2006 Verdens Gang AS
Copyright (c) 2006-2014 Varnish Software AS

Como eu poderia desativar o protocolo SSLv2 e SSLv3 no meu servidor?

UPDATE

Inseri as seguintes entradas no meu arquivo /etc/pound/pound.cfg :

ListenHTTPS
    ...
    Cert "---"
    Ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:-RC4:EECDH+aRSA+RC4:EECDH+RC4:EDH+aRSA+RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:RC4+SHA"
    ....

E agora eu tenho uma nota C no SSL Labs.

Erros de Simulação de Aperto de Mão SSL 3 Inseguro para IE6 / XP .

    
por Gary Dapogi 13.05.2015 / 08:15

1 resposta

1

Parece que você está executando o Pound com SSL na porta 443.

Para corrigir este problema, siga as linhas em /etc/pound.cfg e reinicie o comando libra e teste

DisableSSLv3 DisableSSLv2

    
por 13.05.2015 / 10:02

Tags