Deaktivieren Sie SSLv3 in Apache2 bei einer Neuinstallation von Ubuntu 14.04.1 Server

7

Ich habe eine Neuinstallation von Ubuntu Server Version 14.04.1 Ich habe Apache2 mit aktiviertem SSL. Ich möchte SSLv3 deaktivieren

(Ich bin mir bewusst, dass dies eine beliebte Frage ist, aber ich habe alle anderen Antworten auf mehreren Websites durchsucht und glaube, alle von ihnen vorgeschlagenen Schritte befolgt zu haben.)

Wenn ich den Befehl benutze:

nmap --script ssl-enum-ciphers -p 443 MYDOMAIN.com

Ich kann zwei Sätze von Chiffren sehen. Ein SSLv3 und ein TLSV1.0

Ich habe das SSL-Modul aktiviert und die Konfigurationsdatei lautet /etc/apache2/mods-enabled/ssl.conf

Ich habe es geändert, indem ich die Zeile geändert habe

SSLProtocol all

zu

SSLProtocol All -SSLv2 -SSLv3

In allen Dokumentationen und Web-Tutorials sollte dies SSLv3 deaktivieren.

Ich starte Apache mit dem Befehl neu

sudo service apache2 restart

aber es gibt keine Änderung. SSLv3 ist weiterhin aufgeführt.

Ich habe versucht, den Server anzuhalten und den Befehl erneut auszuführen, um sicherzustellen, dass ich nicht versehentlich den falschen Server überprüfe. Wie erwartet ändert sich das Ergebnis.

Kann mir jemand vorschlagen, welchen Fehler ich mache.

Robert

Meine genaue Ubuntu-Version:

root@xxxx:/etc/apache2/mods-enabled# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 14.04.1 LTS
Release:    14.04
Codename:   trusty

Meine genaue Apache2-Version:

root@xxxx:~# apache2 -v
Server version: Apache/2.4.7 (Ubuntu)
Server built:   Jul 22 2014 14:36:38

Meine genaue openssl-Version:

root@xxxx:~# openssl version
OpenSSL 1.0.1f 6 Jan 2014

Verweise:

http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslprotocol
Robert3452
quelle

Antworten:

5

Ich stellte fest, dass ich andere Konfigurationsdateien hatte, die die Option überschrieben.

Es war möglich, die Dateien zu finden, indem Sie Folgendes ausführen:

cd /etc/apache2
grep -r "SSLProto" .
Robert3452
quelle
4

SSLv2 wird nicht mehr unterstützt.

Deshalb

SSLProtocol All -SSLv2 -SSLv3

wird nicht funktionieren

SSLProtocol All -SSLv3

werden

Fraterjan
quelle
1

Verwenden Sie in Ihrer Apache-Konfigurationsdatei die folgenden Einstellungen:

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Starten Sie dann Ihren Apache neu und überprüfen Sie Ihre Site unter

https://www.ssllabs.com/ssltest/analyze.html?d=www.yourfancysite.com

Es gab mir die Note A (Stand Juli 2017), während ich mit meiner vorherigen Einstellung nur F hatte :)

Anerkennung an:

https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/

baltasvejas
quelle