Ich versuche, den Anweisungen zu folgenHierum die Logjam-Sicherheitslücke zu entschärfen, allerdings erhalte ich immer wieder die folgende Fehlermeldung von Apache:
Syntax error on line 18 of /etc/apache2/sites-enabled/000-default:
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
Action 'configtest' failed.
Wenn ich der Konfiguration die folgende Zeile hinzufüge:
SSLOpenSSLConfCmd DHParameters /etc/ssl/certs/dhparams.pem
Meine Apache-Details sind:
Server version: Apache/2.2.16 (Debian)
Server built: Oct 16 2014 10:27:58
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.4.2, APR-Util 1.3.9
Compiled using: APR 1.4.2, APR-Util 1.3.9
Architecture: 32-bit
Server MPM: Prefork
threaded: no
forked: yes (variable process count)
Server compiled with....
-D APACHE_MPM_DIR="server/mpm/prefork"
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=128
-D HTTPD_ROOT="/etc/apache2"
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="mime.types"
-D SERVER_CONFIG_FILE="apache2.conf"
Ich habe gesucht, kann aber keine Möglichkeit finden, dieses Problem zu lösen.
Antwort1
Von demApache-Dokumentation, die SSLOpenSSLConfCmdOption wurde in Version 2.4.8 hinzugefügt:
Kompatibilität: Verfügbar in httpd 2.4.8 und höher, bei Verwendung von OpenSSL 1.0.2 oder höher
Wenn Sie diese Option verwenden möchten, müssen Sie auf eine neuere Version von Apache aktualisieren.
Antwort2
auch Apache 2.2.22 (Debian 7) Ich habe auch die problematischen Chiffren nacheinander entfernt, gemäß dem Test der Qualys SSL-Laborehttps://www.ssllabs.com/ssltest/index.htmles geht jetzt, nur WinXP / IE6 ist inkompatibel
Die Chiffre, die ich letztendlich verwendet habe:
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
Dies basiert auf der Empfehlung vonhttps://weakdh.org/sysadmin.htmlaber das Entfernen der DH-Chiffren, die der Test als problematisch markiert hat
Antwort3
Der Konfigurationsparameter "SSLOpenSSLConfCmd" funktioniert nicht für Apache 2.2 und bietet keinen ähnlichen Konfigurationsparameter dafür. Es gibt jedoch einen Workaround für Apache 2.2, bis es einen offiziellen Patch gibt:https://bitbucket.org/snippets/wneessen/grb8
Antwort4
Ich vermeide den Logjam in einem Apache 2.4 Server, aber mit OpenSSL 1.0.1 mit diesem
SSLProtocol -all +TLSv1 +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
Dann erstelle ich die dhparams
openssl dhparam -out dhparams.pem 2048
chmod 600 dhparams.pem
und zum Zertifikat hinzufügen
cat /etc/ssl/certs/dhparams.pem >> /etc/ssl/certs/serverhttp.crt
Apache neu laden
apachectl -k graceful
Und überprüfen Sie es mit dem Tool in diesemWebsite oder mit nmap
nmap --script ssl-enum-ciphers -p 443 yourserver |grep weak