Apache desativa SSLv2 SSLv3

3

Eu sei que há algumas perguntas por aqui que acompanham este tópico. Mas eu realmente não sei mais o que posso fazer.

Então, aqui está o ponto:

  • Estou usando o Apache 2.2.22 no OpenSuse 12.3.
  • A opção SSLProtocol está no meu ssl.conf
  • Eu experimentei todas essas opções:

    SSLProtocol ALL -SSLv2 -SSLv3 
    ----------
    SSLProtocol +TLSv1 -SSLv2 -SSLv3
    ----------
    SSLProtocol TLSv1
    ----------
    SSLProtocol -ALL TLSv1
    ----------
    

Mas o que eu tente, ainda todos os protocolos estão disponíveis ...

Por que não posso desativá-lo?

Editar: Então eu tentei tanto que eu quero recapitular:
Eu tenho apenas uma declaração de SSLProtocol e não importa onde eu coloquei (no meu vhost conf ou no meu ssl-default conf). Eu sei que ele está carregado, porque a negação de todos os protocolos com a opção "-all" funciona bem. A negação de um protocolo especial não funciona (como a opção -SSLv3). Se um protocolo for permitido, cada protocolo estará disponível (por exemplo, com "SSLProtocol TLSv1 -SSLv2 -SSLv3" ou "SSLProtocol -all TLSv1", cada protocolo estará disponível!).
Algumas ideias?

    
por manderda 27.10.2014 / 10:34

3 respostas

2

Eu apenas resolvi isso com o exploit POODLE.

Apenas para o OpenSuSE, adicione o seguinte ao seu /etc/apache2/ssl-global.conf

<IfDefine SSL>
<IfDefine !NOSSL>
<IfModule mod_ssl.c>
  #Your other stuff
  SSLProtocol All -SSLv2 -SSLv3
</IfModule>
</IfDefine>
</IfDefine>

Salve, saia e reinicie o apache com o seguinte rcapache2 restart

Se ainda houver algum problema, avise-me.

    
por 27.10.2014 / 14:50
0

Parece que o seu SSLProtocol ... é carregado após o seu site SSL .

Você pode verificar se este é o caso:

strace httpd -t 2>&1 | egrep 'open\("\/etc\/(apache(2|)|httpd)\/.*\.conf'

não sei como o opensuse implementa o apache2, talvez use apache2 -t em vez de httpd -t .

Se o seu SSL conf estiver abaixo do seu Conf do SITE ou ou da configuração que contém sua definição do SITE , a configuração não se aplica ao seu CONF de SITE .

Você tem duas opções:

  1. certifique-se de que SSL conf esteja carregado antes do seu conf SITE .
  2. implemente SSLProtocol ... na sua configuração de SITE conf / SITE .
por 27.10.2014 / 14:44
0

Tente isso

SSLProtocol -ALL +TLSv1

Em vez de

SSLProtocol ALL -SSLv2 -SSLv3 
----------
SSLProtocol +TLSv1 -SSLv2 -SSLv3
----------
SSLProtocol TLSv1
----------
SSLProtocol -ALL TLSv1
    
por 11.05.2016 / 00:11