Apache desativa SSLv2 SSLv3

Question

Apache desativa SSLv2 SSLv3

Navegue suas respostas

#1 resposta do (2 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

3

Eu sei que há algumas perguntas por aqui que acompanham este tópico. Mas eu realmente não sei mais o que posso fazer.

Então, aqui está o ponto:

Estou usando o Apache 2.2.22 no OpenSuse 12.3.
A opção SSLProtocol está no meu ssl.conf

Eu experimentei todas essas opções:

SSLProtocol ALL -SSLv2 -SSLv3 
----------
SSLProtocol +TLSv1 -SSLv2 -SSLv3
----------
SSLProtocol TLSv1
----------
SSLProtocol -ALL TLSv1
----------

Mas o que eu tente, ainda todos os protocolos estão disponíveis ...

Por que não posso desativá-lo?

Editar: Então eu tentei tanto que eu quero recapitular:
Eu tenho apenas uma declaração de SSLProtocol e não importa onde eu coloquei (no meu vhost conf ou no meu ssl-default conf). Eu sei que ele está carregado, porque a negação de todos os protocolos com a opção "-all" funciona bem. A negação de um protocolo especial não funciona (como a opção -SSLv3). Se um protocolo for permitido, cada protocolo estará disponível (por exemplo, com "SSLProtocol TLSv1 -SSLv2 -SSLv3" ou "SSLProtocol -all TLSv1", cada protocolo estará disponível!).
Algumas ideias?

ssl apache-httpd

por manderda 27.10.2014 / 10:34

3 respostas

Tags ssl apache-httpd

SSH não está registrando corretamente Por que o comando 'compare' do ImageMagick é tão lento e existe uma alternativa?

score 2 · Answer 1

Eu apenas resolvi isso com o exploit POODLE.

Apenas para o OpenSuSE, adicione o seguinte ao seu /etc/apache2/ssl-global.conf

<IfDefine SSL>
<IfDefine !NOSSL>
<IfModule mod_ssl.c>
  #Your other stuff
  SSLProtocol All -SSLv2 -SSLv3
</IfModule>
</IfDefine>
</IfDefine>

Salve, saia e reinicie o apache com o seguinte rcapache2 restart

Se ainda houver algum problema, avise-me.

score 0 · Answer 2

Parece que o seu SSLProtocol ... é carregado após o seu site SSL .

Você pode verificar se este é o caso:

strace httpd -t 2>&1 | egrep 'open\("\/etc\/(apache(2|)|httpd)\/.*\.conf'

não sei como o opensuse implementa o apache2, talvez use apache2 -t em vez de httpd -t .

Se o seu SSL conf estiver abaixo do seu Conf do SITE ou ou da configuração que contém sua definição do SITE , a configuração não se aplica ao seu CONF de SITE .

Você tem duas opções:

certifique-se de que SSL conf esteja carregado antes do seu conf SITE .
implemente SSLProtocol ... na sua configuração de SITE conf / SITE .

score 0 · Answer 3

Tente isso

SSLProtocol -ALL +TLSv1

Em vez de

SSLProtocol ALL -SSLv2 -SSLv3 
----------
SSLProtocol +TLSv1 -SSLv2 -SSLv3
----------
SSLProtocol TLSv1
----------
SSLProtocol -ALL TLSv1