Não é possível desativar o SSLv3 no Apache para POODLE

1

Um dos meus clientes queria que eu atualizasse o openssl e o Apache em seu servidor, porque ele deseja receber um A do SSLLabs. Eu fui em frente e atualizei para o Apache 2.4.18 e openssl para a versão 1.0.2e. Em seguida, modifiquei a configuração SSL do Apache para corresponder ao seguinte:

# SSL Protocols/Ciphers
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256::kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLCompression off

Eu executei um Teste SSL no SSL Labs e ainda recebo o seguinte aviso:

This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.

Na lista de protocolos, diz SIM para SSL 3, mesmo se a declaração acima disser que deve ser desativada.

Eu tentei muitas combinações de cifras pesquisando na web e sempre obtive o mesmo resultado. Eu também procurei em qualquer arquivo * .conf por uma configuração SSL, mas não há nenhum exceto meu arquivo SSL acima.

O URL do site: link

Laboratórios SSL: link

    
por David Bélanger 21.01.2016 / 14:56

2 respostas

0

Para que funcione, tive que recompilar o openssl com o seguinte comando ./config --prefix=/usr no-threads shared no-ssl3 . Eu também tive que recompilar o apache depois para habilitar as alterações. Trabalhe como um encanto.

    
por 23.01.2016 / 18:09
0

ssllabs poderia estar armazenando o resultado em cache. Lembro-me de usar um link ou botão na página de resultados do ssllabs para limpar o cache e verificar novamente o servidor da Web.

    
por 23.01.2016 / 08:17