Come disabilitare SSLv2 per Apache httpd


8

Ho appena testato il mio sito su https://www.ssllabs.com/ e ha detto che SSLv2 è insicuro e dovrei disabilitarlo insieme a Cipher Suites deboli.

Come posso disabilitarlo? Ho provato quanto segue ma non funziona.

  1. Siamo andati a /etc/httpd/conf.d/ssl.confftp. aggiunto

    SSLProtocol -ALL +SSLv3 +TLSv1
    SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    
  2. Collegato al server da putty e ha dato il service httpd restartcomando.

Ma continua a mostrare insicurezza sul sito. Come posso ripararlo? Il mio server è Plesk 10.3.1 CentOS. Esistono 3-4 siti sullo stesso server.


Qualche anno fa ho avuto problemi durante il rinnovo di un certificato SSL. La nuova configurazione è stata ignorata, anche dopo un riavvio di Apache. L'arresto di Apache e l'avvio di Apache hanno risolto il problema.

@EricDANNIELOU - Ho riavviato l'intero server, Ancora nessuna fortuna
Yahoo

Risposte:


10

Cambia le linee SSLProtocol e SSLCipherSuite in,

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Ricarica il tuo apache per rendere effettiva la configurazione.

Lo SSLHonorCipherOrder Su cercherà le cifre nell'ordine in cui è specificato.

La configurazione sopra passa il controllo su ssllabs.com ad eccezione della versione TLS. My CentOS 6 supporta solo TLS 1.0 a causa di OpenSSL 1.0.0. OpenSSL 1.0.1 supporta TLS 1.1 e 1.2.

Hai un bilanciamento del carico o un proxy di fronte al tuo apache?


Ho aggiunto le righe che hai menzionato sopra, ma ancora non funziona. Quando controllo www.ssllabs.com , mostra ancora che è abilitato. Sono ignaro di "bilanciamento del carico o proxy di fronte ad apache", come posso verificare questo? Ti farò sapere i dettagli di ciò che devi sapere.
Yahoo,

Tuttavia, quando eseguo questo, ottengo un errore. Quindi sembra disabilitato, ma il sito non lo mostra. openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
Yahoo,

Potrebbe provenire dal bilanciamento del carico o dal proxy da un'altra applicazione di back-end. Senza molti dettagli sulla configurazione / architettura, è difficile eseguire il debug. La configurazione che ho citato, funziona per il mio apache che serve direttamente SSL e ssllabs.com mi dà un punteggio di 88.
Chida

Quindi dovrei disabilitare il bilanciamento del carico, se è presente sul sistema? Come posso sapere se è installato su no?
Yahoo,

Se apache è in ascolto sulla porta *: 80 e il tuo server ha l'ip pubblico corrispondente al tuo sito web, non c'è bilanciamento del carico. Controlla anche i record DNS per round robin.

3

Potresti voler assicurarti che non ci sia un altro SSLProtocolo SSLCiperSuitedirecive da nessuna parte nella tua configurazione di Apache che ha la precedenza su quello che hai appena aggiunto.

Se non riesci a trovarlo, prova ad aggiungere quei due al tuo vhost SSL anziché ssl.conf. Ciò contribuirà a garantire che quelli corretti siano gli ultimi applicati.


Non esiste alcuna voce duplicata nel file. Come posso controllare SSL Vhost? Dove si trova questo file? (Sono nuovo qui)
Yahoo

1
Utilizzando PuTTY, grep -r SSLProtocol /etc/httpddovresti trovare eventuali duplicati. Per quanto riguarda il vhost SSL, non so dove li collochi Plesk, ma probabilmente lo sarà con tutti gli altri host. Un grep ricorsivo per VirtualHost, SSLCertificateFileo il documentroot probabilmente farà il trucco.
Ladadadada,

/var/www/vhosts/mydomain/conf/vhost_ssl.conf & /var/www/vhosts/mydomain/conf/vhost.conf In entrambi i file che ho aggiunto SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMnon funziona ancora: /
Yahoo

0

Quello ha funzionato per me

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

Prova questo.


Stai usando Plesk? Ti preghiamo di approfondire come la tua situazione corrisponde a quella descritta nella domanda originale.
Deer Hunter

-2

Per disabilitare SSL in Centos6.x Basta eseguire il comando seguente:

yum rimuovi mod_ssl

Poi

servizio httpd ricaricare

Per abilitare nuovamente SSL, installare nuovamente il pacchetto "mod_ssl" come:

yum installa mod_ssl

Poi

servizio httpd ricaricare


Penso che l'utente volesse solo rimuovere SSL v2.
Paul,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.