So deaktivieren Sie SSLv2 für Apache httpd

8

Ich habe gerade meine Website unter https://www.ssllabs.com/ getestet und festgestellt, dass SSLv2 unsicher ist, und ich sollte dies zusammen mit schwachen Cipher Suites deaktivieren.

Wie kann ich das deaktivieren? Ich habe Folgendes versucht, aber es funktioniert nicht.

  1. Ging /etc/httpd/conf.d/ssl.confper FTP. Hinzugefügt

    SSLProtocol -ALL +SSLv3 +TLSv1
    SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    
  2. Durch Kitt mit dem Server verbunden und service httpd restartBefehl gegeben.

Aber es wird immer noch unsicher auf der Website angezeigt. Wie kann ich es reparieren? Mein Server ist Plesk 10.3.1 CentOS. Es gibt 3-4 Sites auf demselben Server.

Yahoo
quelle
Vor einigen Jahren hatte ich Probleme beim Erneuern eines SSL-Zertifikats. Die neue Konfiguration wurde auch nach einem Neustart von Apache ignoriert. Das Stoppen von Apache und das Starten von Apache lösten das Problem.
@ EricDANNIELOU - Ich habe den gesamten Server neu gestartet, immer noch kein Glück
Yahoo

Antworten:

10

Ändern Sie die Zeilen SSLProtocol und SSLCipherSuite in,

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Laden Sie Ihren Apache neu, damit die Konfiguration wirksam wird.

Der SSLHonorCipherOrder On versucht die Chiffren in der angegebenen Reihenfolge.

Die obige Konfiguration besteht die Prüfung auf ssllabs.com mit Ausnahme der TLS-Version. Mein CentOS 6 unterstützt nur TLS 1.0 aufgrund von OpenSSL 1.0.0. OpenSSL 1.0.1 unterstützt TLS 1.1 und 1.2.

Haben Sie einen Load Balancer oder Proxy vor Ihrem Apache?

Chida
quelle
Ich habe die Zeilen hinzugefügt, die Sie oben erwähnt haben, aber es funktioniert immer noch nicht. Wenn ich einchecke www.ssllabs.com , wird immer noch angezeigt, dass es aktiviert ist. Ich weiß nichts über "Load Balancer oder Proxy vor Apache". Wie kann ich das überprüfen? Ich werde Sie über die Details informieren, was auch immer Sie wissen müssen.
Yahoo
Wenn ich dies jedoch ausführe, wird ein Fehler angezeigt. Es scheint also deaktiviert zu sein, aber die Site zeigt es nicht an. openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
Yahoo
Es könnte von Ihrem Loadbalancer oder Proxy von einer anderen Backend-Anwendung stammen. Ohne viele Details zu Ihrem Setup / Ihrer Architektur ist das Debuggen schwierig. Die Konfiguration, die ich erwähnt habe, funktioniert für meinen Apache, der SSL direkt bereitstellt, und ssllabs.com gibt mir eine Bewertung von 88.
Chida
Also sollte ich den Load Balancer deaktivieren, wenn er auf dem System vorhanden ist? Wie kann ich herausfinden, ob es nicht installiert ist?
Yahoo
Wenn Apache Port *: 80 abhört und Ihr Server über die öffentliche IP-Adresse verfügt, die Ihrer Website entspricht, gibt es keinen Loadbalancer. Überprüfen Sie auch die DNS-Datensätze auf Round Robin.
3

Möglicherweise möchten Sie sicherstellen, dass in Ihrer Apache-Konfiguration keine andere SSLProtocoloder SSLCiperSuiteDirektive vorhanden ist, die die gerade hinzugefügte überschreibt.

Wenn Sie es nicht finden können, versuchen Sie, diese beiden zu Ihrem SSL-vhost hinzuzufügen, anstatt ssl.conf. Dies hilft sicherzustellen, dass die richtigen die zuletzt angewendeten sind.

Ladadadada
quelle
Es gibt keinen doppelten Eintrag in der Datei. Wie kann ich SSL Vhost einchecken? Wo befindet sich diese Datei? (Bin neu hier)
Yahoo
1
Wenn Sie PuTTY verwenden, grep -r SSLProtocol /etc/httpdsollten Sie Duplikate finden. Was den SSL-vhost betrifft, weiß ich nicht, wo Plesk sie ablegt, aber es wird wahrscheinlich bei allen anderen vhosts sein. Eine rekursive grep für VirtualHost, SSLCertificateFileoder die documentroot wird wahrscheinlich den Trick.
Ladadadada
/var/www/vhosts/mydomain/conf/vhost_ssl.conf & /var/www/vhosts/mydomain/conf/vhost.conf In beiden Dateien, die ich hinzugefügt SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMhabe, funktioniert es immer noch nicht: /
Yahoo
0

Der hat für mich gearbeitet

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

Probier diese.

Hamzah AbuAloush
quelle
Verwenden Sie Plesk? Bitte erläutern Sie, wie Ihre Situation mit der in der ursprünglichen Frage beschriebenen übereinstimmt.
Deer Hunter
-2

So deaktivieren Sie SSL in Centos6.x Führen Sie einfach den folgenden Befehl aus:

yum remove mod_ssl

Dann

Service httpd neu laden

Um SSL wieder zu aktivieren, installieren Sie das Paket "mod_ssl" wie folgt:

yum install mod_ssl

Dann

Service httpd neu laden

user3060223
quelle
Ich denke, der Benutzer wollte nur SSL v2 entfernen.
Paul