Todo mundo parece estar falando sobre oVulnerabilidade POODLEhoje. E todos recomendam desabilitar o SSLv3 no Apache usando a seguinte diretiva de configuração:
SSLProtocol All -SSLv2 -SSLv3
em vez do padrão
SSLProtocol All -SSLv2
Eu fiz isso e não tive alegria – depois de testar repetidamente com várias ferramentas (aqui está um rápido), acho que SSLv3 é aceito com satisfação pelo meu servidor.
Sim, reiniciei o Apache. Sim, fiz uma recursividade grep
em todos os arquivos de configuração e não tenho nenhuma substituição em lugar nenhum. E não, não estou usando uma versão antiga do Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Então, o que acontece? Como é que alguémrealmentedesabilitar SSLv3 no Apache?
Responder1
Eu tive o mesmo problema... Você deve incluir SSLProtocol all -SSLv2 -SSLv3
cada estrofe do VirtualHost no httpd.conf
As sub-rotinas VirtualHost geralmente estão no final do arquivo httpd.conf. Então, por exemplo:
...
...
<VirtualHost your.website.example.com:443>
DocumentRoot /var/www/directory
ServerName your.website.example.com
...
SSLEngine on
...
SSLProtocol all -SSLv2 -SSLv3
...
</VirtualHost>
Verifique também ssl.conf ou httpd-ssl.conf ou similar porque eles podem estar configurados lá, não necessariamente em httpd.conf
Responder2
Eu tive o mesmo problema no Ubuntu 14.04. Depois de ler isso, editei a seção "SSLProtocol" no arquivo /etc/apache2/mods-available/ssl.conf
.
- de:
SSLProtocol all
- para:
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
Mas não funcionou. Então editei também a seção a seguir "SSLCipherSuite" em
/etc/apache2/mods-available/ssl.conf
.
- de:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
- para:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
E agora funciona para mim.
A propósito, os Cipher Suites não são afetados pelo POODLE, apenas o protocolo - mas a maioria dos navegadores aceita um SSLv3 Cipher Suite desabilitado.
Não use isso para um servidor de email! Ou você (talvez) enfrentará o problema de não conseguir buscar seus e-mails em alguns dispositivos.
Responder3
Para Ubuntu 10.04
Para desabilitar SSLv3 em todos os vhosts ativos você precisa da opção em
/etc/apache2/mods-available/ssl.conf :
SSLProtocol all -SSLv2 -SSLv3
Responder4
Certifique-se de que o SSLCipherSuitenãocontém !SSLv3. Nesse contexto, também se refere a TLS1.0 e TLS1.1.
Por exemplo, se sua configuração forProtocolo SSL Todos, apenas TLS1.2 estará disponível devido à forma como SSLCipherSuite está configurado com !SSLv3.