Ich habe gerade meine Website unter https://www.ssllabs.com/ getestet und festgestellt, dass SSLv2 unsicher ist, und ich sollte dies zusammen mit schwachen Cipher Suites deaktivieren.
Wie kann ich das deaktivieren? Ich habe Folgendes versucht, aber es funktioniert nicht.
Ging
/etc/httpd/conf.d/ssl.conf
per FTP. HinzugefügtSSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Durch Kitt mit dem Server verbunden und
service httpd restart
Befehl gegeben.
Aber es wird immer noch unsicher auf der Website angezeigt. Wie kann ich es reparieren? Mein Server ist Plesk 10.3.1 CentOS. Es gibt 3-4 Sites auf demselben Server.
Antworten:
Ändern Sie die Zeilen SSLProtocol und SSLCipherSuite in,
Laden Sie Ihren Apache neu, damit die Konfiguration wirksam wird.
Der SSLHonorCipherOrder On versucht die Chiffren in der angegebenen Reihenfolge.
Die obige Konfiguration besteht die Prüfung auf ssllabs.com mit Ausnahme der TLS-Version. Mein CentOS 6 unterstützt nur TLS 1.0 aufgrund von OpenSSL 1.0.0. OpenSSL 1.0.1 unterstützt TLS 1.1 und 1.2.
Haben Sie einen Load Balancer oder Proxy vor Ihrem Apache?
quelle
www.ssllabs.com
, wird immer noch angezeigt, dass es aktiviert ist. Ich weiß nichts über "Load Balancer oder Proxy vor Apache". Wie kann ich das überprüfen? Ich werde Sie über die Details informieren, was auch immer Sie wissen müssen.openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
Möglicherweise möchten Sie sicherstellen, dass in Ihrer Apache-Konfiguration keine andere
SSLProtocol
oderSSLCiperSuite
Direktive vorhanden ist, die die gerade hinzugefügte überschreibt.Wenn Sie es nicht finden können, versuchen Sie, diese beiden zu Ihrem SSL-vhost hinzuzufügen, anstatt
ssl.conf
. Dies hilft sicherzustellen, dass die richtigen die zuletzt angewendeten sind.quelle
grep -r SSLProtocol /etc/httpd
sollten Sie Duplikate finden. Was den SSL-vhost betrifft, weiß ich nicht, wo Plesk sie ablegt, aber es wird wahrscheinlich bei allen anderen vhosts sein. Eine rekursive grep fürVirtualHost
,SSLCertificateFile
oder die documentroot wird wahrscheinlich den Trick./var/www/vhosts/mydomain/conf/vhost_ssl.conf
&/var/www/vhosts/mydomain/conf/vhost.conf
In beiden Dateien, die ich hinzugefügtSSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
habe, funktioniert es immer noch nicht: /Der hat für mich gearbeitet
Probier diese.
quelle
So deaktivieren Sie SSL in Centos6.x Führen Sie einfach den folgenden Befehl aus:
yum remove mod_ssl
Dann
Service httpd neu laden
Um SSL wieder zu aktivieren, installieren Sie das Paket "mod_ssl" wie folgt:
yum install mod_ssl
Dann
Service httpd neu laden
quelle