Как отключить SSLv2 для Apache httpd

8

Я только что проверил свой сайт на https://www.ssllabs.com/ и он сказал, что SSLv2 небезопасен, и я должен отключить его вместе со слабыми Cipher Suites.

Как я могу отключить это? Я попробовал следующее, но это не работает.

  1. Пошел /etc/httpd/conf.d/ssl.confпо фтп. добавленной

    SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

  2. Подключил к серверу замазкой и дал service httpd restartкоманду.

Но все же его показ небезопасен на сайте. Как я могу это исправить? Мой сервер - Plesk 10.3.1 CentOS. На одном сервере 3-4 сайта.

apache-2.2 centos ssl mod-ssl pci-dss Yahoo
источник
Несколько лет назад у меня была проблема при обновлении сертификата SSL. Новая конфигурация была проигнорирована, даже после перезапуска apache. Остановка Apache и запуск Apache решили проблему.
@EricDANNIELOU - я перезагрузил весь сервер, все еще не повезло
Yahoo

Ответы:

10

Измените строки SSLProtocol и SSLCipherSuite на,

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Перезагрузите ваш apache, чтобы конфигурация вступила в силу.

SSLHonorCipherOrder На опробуют шифры в порядке она определена.

Выше конфигурация проходит проверку на ssllabs.com за исключением версии TLS. Мой CentOS 6 поддерживает только TLS 1.0 из-за OpenSSL 1.0.0. OpenSSL 1.0.1 поддерживает TLS 1.1 и 1.2.

У вас есть какой-нибудь балансировщик нагрузки или прокси перед вашим Apache?

Chida
источник
Я добавил строки, которые вы упомянули выше, но все равно это не работает. Когда я проверяю www.ssllabs.com его, он все еще показывает, что он включен. Я не знаю о `балансировщике нагрузки или прокси перед apache`, как я могу это проверить? Я дам вам знать детали того, что вам нужно знать.
Yahoo
Однако, когда я запускаю это, я получаю сообщение об ошибке. Кажется, он отключен, но сайт его не показывает. openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
Yahoo
Это может происходить от вашего loadbalancer или прокси из какого-либо другого серверного приложения. Без подробной информации о вашей настройке / архитектуре ее сложно отладить. Конфигурация, которую я упомянул, работает для моего apache, который обслуживает SSL напрямую, а ssllabs.com дает мне рейтинг 88.
Чида
Так что я должен отключить балансировщик нагрузки, если он есть в системе? Как я могу узнать, установлен ли он на нет?
Yahoo
Если apache прослушивает порт *: 80 и ваш сервер имеет публичный IP-адрес, соответствующий вашему веб-сайту, loadbalancer отсутствует. Также проверьте записи DNS для круглого робина.
3

Возможно, вы захотите убедиться, что в вашей конфигурации Apache нет другого SSLProtocolили SSLCiperSuiteнаправляющего объекта, который переопределяет тот, который вы только что добавили.

Если вы не можете его найти, попробуйте добавить эти два в ваш SSL vhost, а не ssl.conf. Это поможет гарантировать, что правильные будут последними примененными.

Ladadadada
источник
В файле нет повторяющихся записей. Как я могу проверить в SSL Vhost? Где находится этот файл? (Я новичок здесь)
Yahoo
1
Используя PuTTY, grep -r SSLProtocol /etc/httpdследует найти любые дубликаты. Что касается SSL-хоста, я не знаю, куда их помещает Plesk, но, вероятно, это будет со всеми остальными хостами. Рекурсивный grep для VirtualHost, SSLCertificateFileили documentroot, вероятно, добьется цели.
Ладададада
/var/www/vhosts/mydomain/conf/vhost_ssl.conf & /var/www/vhosts/mydomain/conf/vhost.conf В обоих добавленных мною файлах все SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMеще не работает: /
Yahoo
0

Тот работал на меня 

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

Попробуй это.

Хамза АбуАлуш
источник
Вы используете Plesk? Пожалуйста, опишите, насколько ваша ситуация соответствует описанной в оригинальном вопросе.
Охотник на оленей
-2

Чтобы отключить SSL в Centos6.x Просто выполните следующую команду:

ням удалить mod_ssl

затем

служба httpd перезагрузки

Чтобы снова включить SSL, снова установите пакет "mod_ssl", например:

ням установить mod_ssl

затем

служба httpd перезагрузки

user3060223
источник
Я думаю, что пользователь хотел удалить только SSL v2.
Пол