Como desativar o SSLv3 no Apache?

74

Parece que todo mundo está falando sobre a vulnerabilidade POODLE de hoje. E todo mundo recomenda desabilitar o SSLv3 no Apache usando a seguinte diretiva de configuração:

SSLProtocol All -SSLv2 -SSLv3

em vez do padrão

SSLProtocol All -SSLv2

Eu fiz isso, e não tenho alegria - depois de testar repetidamente com várias ferramentas ( aqui está uma rápida ), eu acho que SSLv3 é felizmente aceito pelo meu servidor.

Sim, reiniciei o Apache. Sim, fiz um grep recursivo em todos os arquivos de configuração e não tenho nenhuma substituição em lugar algum. E não, eu não estou usando uma versão antiga do Apache:

[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built:   Jul 23 2014 14:17:29

Então, o que dá? Como um realmente desativa o SSLv3 no Apache?

    
por Bogdan Stăncescu 16.10.2014 / 08:36

8 respostas

80

Eu tive o mesmo problema ... Você precisa incluir SSLProtocol all -SSLv2 -SSLv3 dentro de cada sub-rotina do VirtualHost em httpd.conf

As sub-rotinas do VirtualHost são geralmente no final do arquivo httpd.conf. Então, por exemplo:

...
...
<VirtualHost your.website.example.com:443>
    DocumentRoot /var/www/directory
    ServerName your.website.example.com

    ...
    SSLEngine on
    ...
    SSLProtocol all -SSLv2 -SSLv3
    ...
</VirtualHost>

Verifique também o ssl.conf ou o httpd-ssl.conf ou similar, porque eles podem ser definidos lá, não necessariamente no httpd.conf

    
por 16.10.2014 / 14:56
10

Eu tive o mesmo problema no Ubuntu 14.04. Depois de ler isto, editei a seção "SSLProtocol" em /etc/apache2/mods-available/ssl.conf .

  • de: SSLProtocol all
  • para: SSLProtocol all -SSLv2 -SSLv3 -TLSV1

Mas não funcionou. Então eu editei a seção a seguir também "SSLCipherSuite" em /etc/apache2/mods-available/ssl.conf .

  • de: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
  • para: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

E agora isso agora funciona para mim.

A propósito, os conjuntos de codificação não são afetados pelo POODLE, apenas pelo protocolo - mas a maioria dos navegadores não tem problema com um SSLv3 Cipher Suite desativado.

Não use isso para um servidor Mailserver! Ou você (talvez) enfrentará o problema de não conseguir buscar seus e-mails em alguns dispositivos.

    
por 23.10.2014 / 17:01
3

Para o Ubuntu 10.04

Para desativar o SSLv3 em todos os vhosts ativos, você precisa da opção

/etc/apache2/mods-available/ssl.conf:

SSLProtocol all -SSLv2 -SSLv3
    
por 22.10.2014 / 13:25
2

Eu tive um problema semelhante esta manhã e encontrei outro host virtual habilitando o SSLv3, então o servidor inteiro responde às conexões SSLv3.

Portanto, certifique-se de que nenhum de seus hosts tenha o SSLv3 ativo.

    
por 16.10.2014 / 09:56
1

Certifique-se de que o SSLCipherSuite não contenha! SSLv3. Nesse contexto, também se refere a TLS1.0 e TLS1.1.

Por exemplo, se sua configuração for SSLProtocol All , apenas o TLS1.2 estará disponível devido a como o SSLCipherSuite está configurado com! SSLv3.

    
por 17.10.2014 / 23:15
0

Para usuários do CentOs com problemas para editar seu arquivo de configuração SSL via SSH, tente desabilitar o SSLv3 via WHM :

Etapa 1: navegue até o editor de inclusão

-Login para WHM -Abra a tela "Apache Configuration" e clique em "Incluir Editor"

Passo 2: Edite o Inclui

-Em "Pre Main Include", selecione "Todas as versões". Dessa forma, seu servidor ficará protegido se você alterar sua versão do Apache. Quando selecionado, insira o seguinte na caixa de texto:

No CentOS / RHEL 6.x:

SSLHonorCipherOrder no
SSLProtocol -All + TLSv1 + TLSv1.1 + TLSv1.2

No CentOS / RHEL 5.x:

SSLHonorCipherOrder no
SSLProtocol -All + TLSv1

… e, em seguida, clique em Atualizar .

Depois de clicar em atualizar, você será solicitado a reiniciar o Apache. faça isso neste momento.

fonte original: link

    
por 20.10.2014 / 00:01
0

O método que você está usando é para a nova versão do Apache e do Openssl. Pode ser possível que uma nova versão destes não esteja instalada no seu sistema, verifique a versão atual instalada.

Como SSLv2 e SSLv3 são vulneráveis a alguns ataques, seria melhor usar apenas TLS. Então modifique seu arquivo conf do apache da seguinte forma,

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

ou

SSLProtocol TLSv1
    
por 16.10.2014 / 08:49
0

Eu tive um problema semelhante e verifiquei se tinha todas as configurações apropriadas do apache corretas.

No entanto, o que eu perdi foi que eu tinha nginx como um proxy reverso na frente do apache. Eu também estou usando o Plesk e isso é do seu guia de correções POODLE :

If you are running Nginx, include the following line in your configuration among the other SSL directives in the /etc/nginx/nginx.conf :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    
por 07.03.2017 / 09:14