Não é possível desativar o SSLv3 na instância do Amazon Linux

Navegue suas respostas
0

Estou usando o certificado SSL emitido pelo Go Daddy. Na minha instância do Linux, seguem os detalhes do software: -

  • Versão do Apache - Apache / 2.4.16 (Amazon)
  • Versão Openssl - OpenSSL 1.0.2c 12 de junho de 2015
  • mod_ssl version - mod_ssl-2.4.2

Nota: - Eu instalo o Apache a partir do pacote RPM e depois instalo o mod_ssl e o openssl do código-fonte.

1) O problema é que quando eu desabilito o SSLv3 e testo o servidor SSL do link ele me avisa que " este servidor não suporta TLSv1.2, que é o melhor atualmente " e quando eu habilito o protocolo TLSv1.2, o mesmo teste me avisa sobre " Este servidor suporta o protocolo SSLv3 e vulnerável ao ataque Poodle " Como desativar o SSLv3 e ativar o TLSv1.2 ao mesmo tempo no servidor? A configuração atual do meu arquivo Vhost sobre o SSL é: 

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder     on

2) Não consigo criar um grupo Strong Diffie-Hellman. Current é um grupo Diffie-Hellman de 1024 bits e deseja criar um grupo de 2048 bits para o site. Eu emito este comando para gerar a chave de 2048 bits: - 

openssl dhparam -out dhparams.pem 2048

e minha configuração no VHost é: 

SSLOpenSSLConfCmd DHParameters /etc/httpd/dhparams.pem

quando eu reiniciar a mensagem de erro do servidor: 

Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration

Como resolver esse problema?

    
por Syd.Vigilant 23.11.2015 / 07:44

2 respostas

1

Para o servidor http do apache, tente: 

SSLProtocol -all +TLSv1
    
por 23.11.2015 / 08:35
1

Como você está implantando sua instância na Amazon, acho que você estava seguindo este tutorial como eu estava fazendo: link

Nesse tutorial, você é encorajado a usar o Letsencrypt para obter uma CA gratuita, o que eu também fiz. Depois de muita pesquisa tentando alterar o arquivo ssl.conf sem sucesso, descobri que o Letsencrypt tem seu próprio arquivo de configuração que sobrescreve tudo o que você digita no arquivo ssl.conf. Basta navegar para

./etc/letsencrypt/options-ssl-apache.conf

e digite suas alterações como você foi instruído a fazer no arquivo ssl.conf. Depois disso, basta reiniciar o apache e suas alterações devem entrar em vigor agora.

    
por 12.12.2017 / 17:48

Tags

Quais gerenciadores de pacotes permitem o download de pacotes binários através do protocolo torrent? [fechadas] Lutando com o achado