it-swarm.com.de

Wie deaktiviere ich SSLv3 in Apache?

Alle scheinen heute über die POODLE-Schwachstelle zu sprechen. Und jeder empfiehlt, SSLv3 in Apache mithilfe der folgenden Konfigurationsanweisung zu deaktivieren:

SSLProtocol All -SSLv2 -SSLv3

anstelle der Standardeinstellung

SSLProtocol All -SSLv2

Ich habe das getan und keine Freude - nachdem ich wiederholt mit verschiedenen Tools getestet habe ( hier ist ein schnelles ), stelle ich fest, dass SSLv3 von meinem Server gerne akzeptiert wird.

Ja, ich habe Apache neu gestartet. Ja, ich habe für alle Konfigurationsdateien ein rekursives grep erstellt, und ich habe nirgendwo eine Überschreibung. Und nein, ich verwende keine alte Version von Apache:

[[email protected] ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built:   Jul 23 2014 14:17:29

Also, was gibt es? Wie deaktiviert man wirklich SSLv3 in Apache?

76

Ich hatte das gleiche Problem ... Sie müssen SSLProtocol all -SSLv2 -SSLv3 in jeder VirtualHost-Zeilengruppe in httpd.conf

Die VirtualHost-Zeilengruppen befinden sich im Allgemeinen am Ende der Datei httpd.conf. Also zum Beispiel:

...
...
<VirtualHost your.website.example.com:443>
    DocumentRoot /var/www/directory
    ServerName your.website.example.com

    ...
    SSLEngine on
    ...
    SSLProtocol all -SSLv2 -SSLv3
    ...
</VirtualHost>

Überprüfen Sie auch ssl.conf oder httpd-ssl.conf oder ähnliches, da diese möglicherweise dort festgelegt sind, nicht unbedingt in httpd.conf

80
darcoli

Ich hatte das gleiche Problem unter Ubuntu 14.04. Nachdem ich dies gelesen hatte, bearbeitete ich den Abschnitt "SSLProtocol" in /etc/Apache2/mods-available/ssl.conf.

  • von: SSLProtocol all
  • zu: SSLProtocol all -SSLv2 -SSLv3 -TLSV1

Aber es hat nicht funktioniert. Also habe ich auch den folgenden Abschnitt "SSLCipherSuite" in /etc/Apache2/mods-available/ssl.conf Bearbeitet.

  • von: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
  • zu: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

Und jetzt funktioniert es jetzt für mich.

Übrigens sind die Cipher Suites nicht von POODLE betroffen, sondern nur vom Protokoll - aber die meisten Browser sind mit einer deaktivierten SSLv3 Cipher Suite einverstanden.

Verwenden Sie dies nicht für einen Mailserver! Oder Sie haben (vielleicht) das Problem, dass Sie Ihre E-Mails auf einigen Geräten nicht abrufen können.

10
BlueM00n

Für Ubuntu 10.04

Um SSLv3 auf allen aktiven vhosts zu deaktivieren, benötigen Sie die Option in

/ etc/Apache2/mods-available/ssl.conf :

SSLProtocol all -SSLv2 -SSLv3
4
Hubsidubsidu

Ich hatte heute Morgen ein ähnliches Problem und habe einen anderen virtuellen Host gefunden, der SSLv3 aktiviert, sodass der gesamte Server auf SSLv3-Verbindungen reagiert.

Stellen Sie daher sicher, dass auf keinem Ihrer Hosts SSLv3 aktiv ist.

2
Bob Maerten

Stellen Sie sicher, dass die SSLCipherSuite nicht! SSLv3 enthält. In diesem Zusammenhang bezieht es sich auch auf TLS1.0 und TLS1.1.

Wenn Ihre Konfiguration beispielsweise SSLProtocol All lautet, ist aufgrund der Konfiguration von SSLCipherSuite mit! SSLv3 nur TLS1.2 verfügbar.

1
anon

Die Methode, die Sie verwenden, ist für die neue Version von Apache und Openssl. Möglicherweise ist eine neue Version nicht auf Ihrem System installiert. Überprüfen Sie die aktuell installierte Version.

Schon seit SSLv2 und SSLv3 beide sind anfällig für einige Angriffe, daher ist es besser, nur TLS zu verwenden. Ändern Sie also Ihre Apache-Konfigurationsdatei wie folgt:

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

oder

SSLProtocol TLSv1
0
P4cK3tHuNt3R

Für CentOs-Benutzer, die Probleme beim Bearbeiten Ihrer SSL-Konfigurationsdatei über SSH haben , deaktivieren Sie SSLv3 über WHM :

Schritt 1: Navigieren Sie zum Include-Editor

- Melden Sie sich bei WHM an - Öffnen Sie den Bildschirm "Apache-Konfiguration" und klicken Sie auf "Editor einschließen".

Schritt 2: Bearbeiten Sie die Includes

- Wählen Sie unter "Pre Main Include" die Option "All Versions". Auf diese Weise wird Ihr Server geschützt, wenn Sie Ihre Apache-Version ändern. Wenn ausgewählt, geben Sie Folgendes in das Textfeld ein:

Unter CentOS/RHEL 6.x:

SSLHonorCipherOrder Ein
SSLProtocol -All + TLSv1 + TLSv1.1 + TLSv1.2

Unter CentOS/RHEL 5.x:

SSLHonorCipherOrder Ein
SSLProtocol -All + TLSv1

… Und dann auf Update klicken.

Sobald Sie auf Aktualisieren klicken, werden Sie aufgefordert, Apache neu zu starten. tun Sie dies zu diesem Zeitpunkt.

originalquelle: https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/

0
Isaias Valencia

Ich hatte ein ähnliches Problem und hatte überprüft, ob alle entsprechenden Apache-Einstellungen korrekt waren.

Was ich jedoch vermisste war, dass ich Nginx als Reverse Proxy vor Apache hatte. Ich benutze auch zufällig Plesk und dies ist aus ihrem POODLE Fixes Guide :

Wenn Sie Nginx ausführen, fügen Sie die folgende Zeile in Ihre Konfiguration unter den anderen SSL-Anweisungen in /etc/nginx/nginx.conf Ein:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
0
icc97