Кажется, все говорят оУязвимость ПУДЛЯсегодня. И все рекомендуют отключить SSLv3 в Apache с помощью следующей директивы конфигурации:
SSLProtocol All -SSLv2 -SSLv3
вместо значения по умолчанию
SSLProtocol All -SSLv2
Я так и сделал, и никакой радости – после многократного тестирования с помощью различных инструментов (вот быстрый), я обнаружил, что мой сервер успешно принимает SSLv3.
Да, я перезапустил Apache. Да, я сделал рекурсию grep
по всем файлам конфигурации, и у меня нет никаких переопределений нигде. И нет, я не использую какую-то древнюю версию Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Итак, что дает? Как можноДействительноотключить SSLv3 в Apache?
решение1
У меня была та же проблема... Вам нужно включить SSLProtocol all -SSLv2 -SSLv3
в каждую строфу VirtualHost в httpd.conf
Строки VirtualHost обычно находятся ближе к концу файла httpd.conf. Например:
...
...
<VirtualHost your.website.example.com:443>
DocumentRoot /var/www/directory
ServerName your.website.example.com
...
SSLEngine on
...
SSLProtocol all -SSLv2 -SSLv3
...
</VirtualHost>
Также проверьте ssl.conf или httpd-ssl.conf или аналогичные, поскольку они могут быть установлены там, а не обязательно в httpd.conf
решение2
У меня была такая же проблема на Ubuntu 14.04. Прочитав это, я отредактировал раздел "SSLProtocol" в /etc/apache2/mods-available/ssl.conf
.
- от:
SSLProtocol all
- к:
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
Но это не сработало. Поэтому я отредактировал и следующий раздел "SSLCipherSuite" в
/etc/apache2/mods-available/ssl.conf
.
- от:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
- к:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
И теперь это работает и у меня.
Кстати, POODLE не влияет на наборы шифров, а только на протокол, но большинство браузеров нормально работают с отключенным набором шифров SSLv3.
Не используйте это для почтового сервера! Иначе вы (возможно) столкнетесь с проблемой невозможности получить почту на некоторых устройствах.
решение3
Для Ubuntu 10.04
Чтобы отключить SSLv3 на всех активных виртуальных хостах, вам нужна опция в
/etc/apache2/mods-available/ssl.conf :
SSLProtocol all -SSLv2 -SSLv3
решение4
Убедитесь, что SSLCipherSuiteнесодержат !SSLv3. В этом контексте он также относится к TLS1.0 и TLS1.1.
Например, если ваша конфигурацияSSLПротокол Все, будет доступен только TLS1.2 из-за настройки SSLCipherSuite с помощью !SSLv3.