Alle scheinen heute über die POODLE-Schwachstelle zu reden . Und jeder empfiehlt, SSLv3 in Apache mithilfe der folgenden Konfigurationsanweisung zu deaktivieren:
SSLProtocol All -SSLv2 -SSLv3
anstelle der Standardeinstellung
SSLProtocol All -SSLv2
Ich habe das getan und keine Freude - nachdem ich wiederholt mit verschiedenen Tools getestet habe ( hier ist eine schnelle ), stelle ich fest, dass SSLv3 von meinem Server glücklich akzeptiert wird.
Ja, ich habe Apache neu gestartet. Ja, ich habe grep
alle Konfigurationsdateien rekursiv bearbeitet und habe nirgendwo einen Override. Und nein, ich verwende keine alte Version von Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Also, was gibt es? Wie kann man SSLv3 in Apache wirklich deaktivieren?
ssl
apache-httpd
Bogdan Stăncescu
quelle
quelle
Antworten:
Ich hatte das gleiche Problem ... Sie müssen in
SSLProtocol all -SSLv2 -SSLv3
jede VirtualHost-Zeilengruppe in httpd.conf aufnehmenDie VirtualHost-Zeilengruppen befinden sich im Allgemeinen gegen Ende der Datei httpd.conf. Also zum Beispiel:
Überprüfen Sie auch ssl.conf oder httpd-ssl.conf oder ähnliches, da sie möglicherweise dort festgelegt sind, nicht unbedingt in httpd.conf
quelle
SSLProtocol
, das außerhalb der VirtualHost- Zeilengruppen konfiguriert wurde, für alle virtuellen Hosts gilt.nmap -sV --script ssl-enum-ciphers -p 443 <hostname>
.SSLProtocol
systemweit einzurichten , ohne jeden VirtualHost bearbeiten zu müssen?Ich hatte das gleiche Problem auf Ubuntu 14.04. Nachdem ich dies gelesen hatte, habe ich den Abschnitt "SSLProtocol" in bearbeitet
/etc/apache2/mods-available/ssl.conf
.SSLProtocol all
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
Aber es hat nicht funktioniert. Also habe ich den folgenden Abschnitt auch in "SSLCipherSuite" bearbeitet
/etc/apache2/mods-available/ssl.conf
.SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
Und jetzt funktioniert es jetzt bei mir.
Übrigens sind die Cipher Suites nicht von POODLE betroffen, sondern nur vom Protokoll. In den meisten Browsern ist jedoch eine deaktivierte SSLv3 Cipher Suite in Ordnung.
Verwenden Sie dies nicht für einen Mailserver! Oder Sie haben (vielleicht) das Problem, dass Sie Ihre Mails auf einigen Geräten nicht abrufen können.
quelle
Für Ubuntu 10.04
Um SSLv3 auf allen aktiven vhosts zu deaktivieren, benötigen Sie die Option in
/etc/apache2/mods-available/ssl.conf:
quelle
Ich hatte heute Morgen ein ähnliches Problem und fand einen anderen virtuellen Host, der SSLv3 aktiviert, sodass der gesamte Server auf SSLv3-Verbindungen reagiert.
Stellen Sie daher sicher, dass auf keinem Ihrer Hosts SSLv3 aktiv ist.
quelle
Stellen Sie sicher, dass die SSLCipherSuite kein ! SSLv3 enthält. In diesem Zusammenhang wird auch auf TLS1.0 und TLS1.1 verwiesen.
Wenn Ihre Konfiguration beispielsweise SSLProtocol All lautet, ist aufgrund der Konfiguration von SSLCipherSuite mit! SSLv3 nur TLS1.2 verfügbar.
quelle
Wenn CentOs-Benutzer Probleme beim Bearbeiten Ihrer SSL-Konfigurationsdatei über SSH haben, deaktivieren Sie SSLv3 über WHM :
Schritt 1: Navigieren Sie zum Include-Editor
-Login to WHM -Öffne den "Apache Configuration" Bildschirm und klicke auf "Include Editor"
Schritt 2: Bearbeiten Sie die Includes
- Wählen Sie unter "Pre Main Include" die Option "All Versions". Auf diese Weise wird Ihr Server geschützt, wenn Sie Ihre Apache-Version ändern. Wenn ausgewählt, geben Sie Folgendes in das Textfeld ein:
Auf CentOS / RHEL 6.x:
SSLHonorCipherOrder On
SSLProtocol -All + TLSv1 + TLSv1.1 + TLSv1.2
Auf CentOS / RHEL 5.x:
SSLHonorCipherOrder On
SSLProtocol -All + TLSv1
… Und dann auf Aktualisieren klicken .
Sobald Sie auf "Aktualisieren" klicken, werden Sie aufgefordert, Apache neu zu starten. Tun Sie dies zu diesem Zeitpunkt.
Originalquelle: https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/
quelle
Die Methode, die Sie verwenden, ist für die neue Version von Apache und Openssl. Möglicherweise ist eine neue Version davon nicht auf Ihrem System installiert. Überprüfen Sie die aktuell installierte Version.
Da
SSLv2
undSSLv3
beide von einigen Angriffen betroffen sind, ist es besser, nur TLS zu verwenden. So ändern Sie Ihre Apache Conf-Datei wie folgt,oder
quelle
Ich hatte ein ähnliches Problem und ich hatte überprüft, ob alle geeigneten Apache-Einstellungen korrekt waren.
Was ich jedoch vermisste, war, dass ich Nginx als Reverse-Proxy vor Apache hatte. Ich benutze auch Plesk und dies ist aus dem POODLE Fixes Guide :
quelle