Ich versuche , die beschriebenen Anleitungen folgen hier für die logjam Verwundbarkeit zu mildern, aber ich halte den folgenden Fehler von appache bekommen:
Syntax error on line 18 of /etc/apache2/sites-enabled/000-default:
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
Action 'configtest' failed.
Wenn ich der Konfiguration die folgende Zeile hinzufüge:
SSLOpenSSLConfCmd DHParameters /etc/ssl/certs/dhparams.pem
Meine Appache-Details sind:
Server version: Apache/2.2.16 (Debian)
Server built: Oct 16 2014 10:27:58
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.4.2, APR-Util 1.3.9
Compiled using: APR 1.4.2, APR-Util 1.3.9
Architecture: 32-bit
Server MPM: Prefork
threaded: no
forked: yes (variable process count)
Server compiled with....
-D APACHE_MPM_DIR="server/mpm/prefork"
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=128
-D HTTPD_ROOT="/etc/apache2"
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="mime.types"
-D SERVER_CONFIG_FILE="apache2.conf"
Ich habe gesucht, kann aber keine Möglichkeit finden, dieses Problem zu beheben.
apache-2.2
openssl
Joel Lewis
quelle
quelle
Antworten:
In der Apache-Dokumentation wurde die
SSLOpenSSLConfCmd
Option in Version 2.4.8 hinzugefügt:Sie müssen auf eine spätere Version von Apache aktualisieren, wenn Sie diese Option verwenden möchten.
quelle
auch apache 2.2.22 (debian 7) Ich habe auch die problematischen Chiffren nacheinander entfernt, laut dem qualys ssl labs test https://www.ssllabs.com/ssltest/index.html geht es jetzt nur noch WinXP / IE6 unvereinbar
Chiffre, die ich letztendlich verwendet habe:
Dies basiert auf der Empfehlung von https://weakdh.org/sysadmin.html , entfernt jedoch die Dh-Chiffren, die der Test als problematisch markiert hat
quelle
Der Konfigurationsparameter "SSLOpenSSLConfCmd" funktioniert nicht für Apache 2.2 und bietet hierfür keinen ähnlichen Konfigurationsparameter. Es gibt jedoch eine Problemumgehung für Apache 2.2, bis es einen offiziellen Patch gibt: https://bitbucket.org/snippets/wneessen/grb8
quelle
Ich habe Apache 2.2.22 (Debian) und verwende jetzt die folgende CipherSuite, die für die meisten modernen Browser funktioniert, da DH weggelassen wird:
quelle
Ich vermeide den Logjam in einem Apachet 2.4 Server, aber mit openssl 1.0.1 benutze ich dies
Dann erstelle ich die Dhparams
und zu cert hinzufügen
Apache neu laden
Und überprüfen Sie es mit dem Tool auf dieser Site oder mit nmap
quelle
Auf Apache httpd 2.4.7 und früher:
Quelle
Grundsätzlich heißt es, dass Apache <2.4.7 DH-Parameter verwendet, die dieselbe Länge wie die Länge des Zertifikatmoduls haben , obwohl ich Apache & mod_ssl 2.2.15 mit einem 2048-Zertifikat habe, für das der Test angibt, dass es das "Common 1024-Bit Prime" verwendet "für DHE.
Andererseits heißt es in Apache 2.2-Dokumenten, dass mod_ssl <2.2.30 keine Schlüssellängen> 1024 verwenden kann :
Die verwendete CipherSuite entspricht den Angaben des Mozilla-Konfigurationsgenerators :
quelle
Die greenone83-Chiffren haben mir geholfen! Ich gehe von B auf SSL Qualys Labs zu A.
quelle