Como desabilitar SSLv3 no Apache?

tag-icon tag-icon ssl apache-httpd
Como desabilitar SSLv3 no Apache?

Todo mundo parece estar falando sobre oVulnerabilidade POODLEhoje. E todos recomendam desabilitar o SSLv3 no Apache usando a seguinte diretiva de configuração:

SSLProtocol All -SSLv2 -SSLv3

em vez do padrão

SSLProtocol All -SSLv2

Eu fiz isso e não tive alegria – depois de testar repetidamente com várias ferramentas (aqui está um rápido), acho que SSLv3 é aceito com satisfação pelo meu servidor.

Sim, reiniciei o Apache. Sim, fiz uma recursividade grepem todos os arquivos de configuração e não tenho nenhuma substituição em lugar nenhum. E não, não estou usando uma versão antiga do Apache:

[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built:   Jul 23 2014 14:17:29

Então, o que acontece? Como é que alguémrealmentedesabilitar SSLv3 no Apache?

Responder1

Eu tive o mesmo problema... Você deve incluir SSLProtocol all -SSLv2 -SSLv3cada estrofe do VirtualHost no httpd.conf

As sub-rotinas VirtualHost geralmente estão no final do arquivo httpd.conf. Então, por exemplo:

...
...
<VirtualHost your.website.example.com:443>
    DocumentRoot /var/www/directory
    ServerName your.website.example.com

    ...
    SSLEngine on
    ...
    SSLProtocol all -SSLv2 -SSLv3
    ...
</VirtualHost>

Verifique também ssl.conf ou httpd-ssl.conf ou similar porque eles podem estar configurados lá, não necessariamente em httpd.conf

Responder2

Eu tive o mesmo problema no Ubuntu 14.04. Depois de ler isso, editei a seção "SSLProtocol" no arquivo /etc/apache2/mods-available/ssl.conf.

  • de:SSLProtocol all
  • para: SSLProtocol all -SSLv2 -SSLv3 -TLSV1

Mas não funcionou. Então editei também a seção a seguir "SSLCipherSuite" em /etc/apache2/mods-available/ssl.conf.

  • de:SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
  • para:SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

E agora funciona para mim.

A propósito, os Cipher Suites não são afetados pelo POODLE, apenas o protocolo - mas a maioria dos navegadores aceita um SSLv3 Cipher Suite desabilitado.

Não use isso para um servidor de email! Ou você (talvez) enfrentará o problema de não conseguir buscar seus e-mails em alguns dispositivos.

Responder3

Para Ubuntu 10.04

Para desabilitar SSLv3 em todos os vhosts ativos você precisa da opção em

/etc/apache2/mods-available/ssl.conf :

SSLProtocol all -SSLv2 -SSLv3

Responder4

Certifique-se de que o SSLCipherSuitenãocontém !SSLv3. Nesse contexto, também se refere a TLS1.0 e TLS1.1.

Por exemplo, se sua configuração forProtocolo SSL Todos, apenas TLS1.2 estará disponível devido à forma como SSLCipherSuite está configurado com !SSLv3.

informação relacionada