Oggi sembra che tutti stiano parlando della vulnerabilità di POODLE . E tutti raccomandano di disabilitare SSLv3 in Apache usando la seguente direttiva di configurazione:
SSLProtocol All -SSLv2 -SSLv3
invece del valore predefinito
SSLProtocol All -SSLv2
L'ho fatto, e senza gioia - dopo aver testato ripetutamente con vari strumenti ( eccone uno veloce ), trovo che SSLv3 sia felicemente accettato dal mio server.
Sì, ho riavviato Apache. Sì, ho fatto un ricorsivo grep
su tutti i file di configurazione e non ho alcuna sostituzione da nessuna parte. E no, non sto usando una versione antica di Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Quindi, cosa dà? Come si disabilita davvero SSLv3 in Apache?