Para que funcione, tive que recompilar o openssl com o seguinte comando ./config --prefix=/usr no-threads shared no-ssl3
. Eu também tive que recompilar o apache depois para habilitar as alterações. Trabalhe como um encanto.
Um dos meus clientes queria que eu atualizasse o openssl e o Apache em seu servidor, porque ele deseja receber um A do SSLLabs. Eu fui em frente e atualizei para o Apache 2.4.18 e openssl para a versão 1.0.2e. Em seguida, modifiquei a configuração SSL do Apache para corresponder ao seguinte:
# SSL Protocols/Ciphers
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256::kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLCompression off
Eu executei um Teste SSL no SSL Labs e ainda recebo o seguinte aviso:
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.
Na lista de protocolos, diz SIM para SSL 3, mesmo se a declaração acima disser que deve ser desativada.
Eu tentei muitas combinações de cifras pesquisando na web e sempre obtive o mesmo resultado. Eu também procurei em qualquer arquivo * .conf por uma configuração SSL, mas não há nenhum exceto meu arquivo SSL acima.
O URL do site: link
Laboratórios SSL: link
ssllabs poderia estar armazenando o resultado em cache. Lembro-me de usar um link ou botão na página de resultados do ssllabs para limpar o cache e verificar novamente o servidor da Web.
Tags ssl openssl apache-2.4 poodle