Ainda vulnerável após desabilitar o SSLv3

Question

Ainda vulnerável após desabilitar o SSLv3

#1 resposta do (2 votos)
#2 resposta do (0 votos)

1

Estou tentando desativar o SSLv3 para evitar o problema do Poodle. Eu estou usando as seguintes instruções como um guidleine: link

Eu apliquei a seguinte linha no meu arquivo de configuração:

SSLProtocol All -SSLv2 -SSLv3

e reiniciei o apache, mas parece que ainda estou vulnerável. Estou usando essa ferramenta para verificar: link

Também fiz um grep para garantir que o SSL não esteja ativo em nenhum outro lugar, o que não é.

Me deparei com este post: Como desativar o SSLv3 no Apache? , a resposta aceita afirma que você tem que colocar na linha acima em cada estrofe vhost, isso é verdade? Eu tenho outros vhosts neste servidor, mas eles precisam ser seguros.

** EDIT: Adicionando o arquivo de configuração sanatised para o site com referências SSL. **

<VirtualHost *:80>
    ServerAdmin [email protected]
    DocumentRoot "/html/xxxxxx.xxxxxx.xxx"
    ServerAlias xxxxxx.xxxxxx.xxx
    ServerAlias xxxxxx.xxxxxx.xxx
    ServerName xxxxxx.xxxxxx.xxx
    ErrorLog logs/xxxxxx.xxxxxx.xxx-error_log
    CustomLog logs/xxxxxx.xxxxxx.xxx-access_log common
</VirtualHost>

    <VirtualHost *:443>
        ServerAdmin [email protected]
        DocumentRoot "/html/xxxxxxxxxxx/xxxxxx”
        ServerAlias xxxxxx.xxxxxx.xxx
        ServerAlias xxxxxx.xxxxxx.xxx
        ServerName xxxxxx.xxxxxx.xxx
        ErrorLog logs/xxxxxx.xxxxxx.xxx-error_log
        CustomLog logs/xxxxxx.xxxxxx.xxx-access_log common

        SSLEngine on

        SSLCertificateFile /path/to/cert/xxxxxx.xxxxxx.xxx.crt
        SSLCertificateKeyFile /path/to/key/xxxxxx.xxxxxx.xxx.key
        SSLCertificateChainFile /path/to/chain/xxxxxx.xxxxxx.xxx.ca

        SSLProtocol all -SSLv2 -SSLv3
        SSLCipherSuite ALL:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        ErrorLog logs/ssl_error_log
        TransferLog logs/ssl_access_log
        LogLevel warn

        <Directory "/html/xxxxxx.xxxxxx.xxx">
                DirectoryIndex index.php index.htm index.html
                Options -Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
    </VirtualHost>

Meus outros arquivos vhost são apenas configurações padrão para a porta 80, não há nada especial sobre eles.

serviço sudo httpd configtest retorna a Sintaxe OK.

ssl poodle apache-httpd

por Stephen 20.10.2014 / 15:33

2 respostas

0

Uma maneira que eu usei para localizar todo o vhost HTTPS é recursivo grep todos os arquivos de configuração em httpd / apache2 dir.

/etc/apache2# grep -nR 'SSLEngine on' .

por 20.10.2014 / 16:01

Tags ssl poodle apache-httpd

A contagem de emails off-line não coincide com a do Gmail Aumentando o desempenho de leituras de arquivos de texto não criptografado

score 2 · Accepted Answer

Resolvi o problema, tive que colocar a seguinte linha:

SSLProtocol all -SSLv2 -SSLv3

no /etc/httpd/conf.d/ssl.conf

Por algum motivo, as configurações na configuração do vhost não têm prioridade.