Parece que você está executando o Pound com SSL na porta 443.
Para corrigir este problema, siga as linhas em /etc/pound.cfg e reinicie o comando libra e teste
DisableSSLv3
DisableSSLv2
Instalei recentemente um certificado SSL no meu servidor. Então experimentei esta ferramenta para testar meu certificado SSL recém-instalado no meu servidor e ver se não há problema.
Descobriu-se que há um problema com o protocolo SSL 3 , dizendo que ele é inseguro devido à vulnerabilidade do ataque POODLE.
A página sugere desativar o SSL 3 para atenuá-lo.
Então pesquisei na Internet como desabilitar * SSLv3 e SSLv2 ** no servidor Apache 2.4.
Eu encontrei vários tutoriais que dizem ... para desativar SSLv3 e SSLv2 no meu servidor Ubuntu 14.04 com o Apache 2.4, eu tenho que editar todas as instâncias de SSLProtocol all
em todos os arquivos dentro de /etc/apache2
e altere para SSLProtocol all -SSLv2 -SSLv3
.
Já fiz o seguinte, mas a Ferramenta de teste de servidor SSL do SSL Lab ainda relata o mesmo problema.
Já adicionei isso a todo o meu vhost e todo o arquivo de configuração que possui SSLProtocol
...
SSLProtocol all -SSLv2 -SSLv3
No meu servidor, configurei Pound Proxy com Varnish Cache .
Eu fiz isso porque o Varnish não é capaz de usar o HTTPS, e por isso eu configurei Pound e usei o Varnish como back-end.
A configuração está funcionando bem, o Varnish está fazendo cache em HTTPS.
Meu certificado SSL foi instalado corretamente. Confirmei o uso de ferramentas on-line da Digicert e do SSL Labs.
Os arquivos SSL Pem usados com Pound contêm informações extraídas de .key
, .crt
e CA.pem
.
Abaixo estão alguns detalhes sobre o meu servidor. Ele hospeda uma única instância do Wordpress, está em produção.
Apache ports.conf
e sites-available/myvhost.conf
-
<IfModule mod_ssl.c>
Listen 9443
Apache
.vcl
- DAEMON_OPTS="- a: 80" ListenHTTPS
O servidor é provisionado usando o Tuxlite , que baixei da seguinte página:
https://github.com/Mins/TuxLite
Distributor ID: Ubuntu
Description: Ubuntu 14.04.2 LTS
Release: 14.04
Codename: trusty
Server version: Apache/2.4.7 (Ubuntu)
Server built: Mar 10 2015 13:05:59
Server's Module Magic Number: 20120211:27
Server loaded: APR 1.5.1-dev, APR-UTIL 1.5.3
Compiled using: APR 1.5.1-dev, APR-UTIL 1.5.3
Architecture: 64-bit
Server MPM: event
threaded: yes (fixed thread count)
forked: yes (variable process count)
Server compiled with....
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=256
-D HTTPD_ROOT="/etc/apache2"
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="mime.types"
-D SERVER_CONFIG_FILE="apache2.conf"
starting...
Version 2.6
Configuration switches:
--enable-cert1l
Exiting...
varnishd (varnish-4.0.3 revision b8c4a34)
Copyright (c) 2006 Verdens Gang AS
Copyright (c) 2006-2014 Varnish Software AS
Como eu poderia desativar o protocolo SSLv2 e SSLv3 no meu servidor?
Inseri as seguintes entradas no meu arquivo /etc/pound/pound.cfg
:
ListenHTTPS
...
Cert "---"
Ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:-RC4:EECDH+aRSA+RC4:EECDH+RC4:EDH+aRSA+RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:RC4+SHA"
....
E agora eu tenho uma nota C no SSL Labs.
Erros de Simulação de Aperto de Mão SSL 3 Inseguro para IE6 / XP .
Parece que você está executando o Pound com SSL na porta 443.
Para corrigir este problema, siga as linhas em /etc/pound.cfg e reinicie o comando libra e teste
DisableSSLv3
DisableSSLv2