Todo el mundo parece estar hablando de laVulnerabilidad del CANICHEhoy. Y todos recomiendan deshabilitar SSLv3 en Apache usando la siguiente directiva de configuración:
SSLProtocol All -SSLv2 -SSLv3
en lugar del valor predeterminado
SSLProtocol All -SSLv2
Lo hice y no me alegro, después de probar repetidamente con varias herramientas (aquí hay uno rápido), encuentro que mi servidor acepta SSLv3 felizmente.
Sí, reinicié Apache. Sí, hice un recursivo grep
en todos los archivos de configuración y no tengo ninguna anulación en ninguna parte. Y no, no estoy usando ninguna versión antigua de Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Entonces, ¿qué pasa? ¿Cómo unoen realidad¿Deshabilitar SSLv3 en Apache?
Respuesta1
Tuve el mismo problema... Tienes que incluirlo SSLProtocol all -SSLv2 -SSLv3
en cada estrofa de VirtualHost en httpd.conf
Las estrofas de VirtualHost generalmente se encuentran hacia el final del archivo httpd.conf. Así por ejemplo:
...
...
<VirtualHost your.website.example.com:443>
DocumentRoot /var/www/directory
ServerName your.website.example.com
...
SSLEngine on
...
SSLProtocol all -SSLv2 -SSLv3
...
</VirtualHost>
También verifique ssl.conf o httpd-ssl.conf o similar porque pueden estar configurados allí, no necesariamente en httpd.conf.
Respuesta2
Tuve el mismo problema en Ubuntu 14.04. Después de leer esto, edité la sección "SSLProtocol" en /etc/apache2/mods-available/ssl.conf
.
- de:
SSLProtocol all
- a:
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
Pero no funcionó. Así que también edité la siguiente sección "SSLCipherSuite" en
/etc/apache2/mods-available/ssl.conf
.
- de:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
- a:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
Y ahora ya me funciona.
Por cierto, POODLE no afecta a las suites de cifrado, solo al protocolo, pero la mayoría de los navegadores aceptan una suite de cifrado SSLv3 deshabilitada.
¡No uses esto para un servidor de correo! O (tal vez) enfrentará el problema de no poder recuperar sus correos en algunos dispositivos.
Respuesta3
Para Ubuntu 10.04
Para deshabilitar SSLv3 en todos los vhosts activos, necesita la opción en
/etc/apache2/mods-available/ssl.conf:
SSLProtocol all -SSLv2 -SSLv3
Respuesta4
Asegúrese de que SSLCipherSuiteno escontiene !SSLv3. En ese contexto, también se refiere a TLS1.0 y TLS1.1.
Por ejemplo, si su configuración esProtocolo SSL Todos, solo TLS1.2 estará disponible debido a cómo está configurado SSLCipherSuite con !SSLv3.