Alle reden über diePOODLE-Sicherheitslückeheute. Und jeder empfiehlt, SSLv3 in Apache mit der folgenden Konfigurationsanweisung zu deaktivieren:
SSLProtocol All -SSLv2 -SSLv3
anstelle der Standardeinstellung
SSLProtocol All -SSLv2
Ich habe das getan, und kein Erfolg – nach wiederholten Tests mit verschiedenen Tools (hier ist eine schnelle), stelle ich fest, dass SSLv3 von meinem Server problemlos akzeptiert wird.
Ja, ich habe Apache neu gestartet. Ja, ich habe alle Konfigurationsdateien rekursiv ausgeführt grepund habe nirgendwo eine Überschreibung. Und nein, ich verwende keine alte Version von Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Was also ist los? Wie kann manWirklichSSLv3 in Apache deaktivieren?
Antwort1
Ich hatte das gleiche Problem ... Sie müssen SSLProtocol all -SSLv2 -SSLv3in jede VirtualHost-Strophe in httpd.conf einschließen
Die VirtualHost-Strophen stehen im Allgemeinen am Ende der Datei httpd.conf. Zum Beispiel:
...
...
<VirtualHost your.website.example.com:443>
DocumentRoot /var/www/directory
ServerName your.website.example.com
...
SSLEngine on
...
SSLProtocol all -SSLv2 -SSLv3
...
</VirtualHost>
Überprüfen Sie auch ssl.conf oder httpd-ssl.conf oder ähnliches, da sie dort möglicherweise festgelegt sind, nicht unbedingt in httpd.conf
Antwort2
Ich hatte das gleiche Problem unter Ubuntu 14.04. Nachdem ich dies gelesen hatte, habe ich den Abschnitt „SSLProtocol“ in bearbeitet /etc/apache2/mods-available/ssl.conf.
- aus:
SSLProtocol all - Zu:
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
Aber es hat nicht funktioniert. Also habe ich auch den folgenden Abschnitt „SSLCipherSuite“ bearbeitet
/etc/apache2/mods-available/ssl.conf.
- aus:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 - Zu:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
Und jetzt funktioniert es bei mir.
Übrigens sind die Cipher Suites von POODLE nicht betroffen, nur das Protokoll – die meisten Browser kommen allerdings mit einer deaktivierten SSLv3 Cipher Suite zurecht.
Benutze dies nicht für einen Mailserver! Sonst wirst du (möglicherweise) das Problem haben, dass du deine Mails auf manchen Geräten nicht abrufen kannst.
Antwort3
Für Ubuntu 10.04
Um SSLv3 auf allen aktiven virtuellen Hosts zu deaktivieren, benötigen Sie die Option in
/etc/apache2/mods-available/ssl.conf:
SSLProtocol all -SSLv2 -SSLv3
Antwort4
Stellen Sie sicher, dass die SSLCipherSuitenichtenthalten !SSLv3. In diesem Kontext bezieht es sich auch auf TLS1.0 und TLS1.1.
Wenn Ihre Konfiguration beispielsweiseSSLProtokoll Alle, aufgrund der Konfiguration von SSLCipherSuite mit !SSLv3 wird nur TLS1.2 verfügbar sein.