У меня есть новая установка серверной версии 14.04.1 человечности, у меня есть apache2 с включенным SSL. Я хочу отключить SSLv3
(Я знаю, что это - популярный вопрос, но я тралил все другие ответы на нескольких сайтах, и я полагаю, что выполнил все шаги, которые они предлагают.)
Когда я использую команду:
nmap --script ssl-enum-ciphers -p 443 MYDOMAIN.com
Я вижу два набора шифров. Один SSLv3 и один TLSV1.0
Мне включили модуль SSL, и это - файл конфигурации,/etc/apache2/mods-enabled/ssl.conf
Я изменил его путем изменения строки
SSLProtocol all
кому:
SSLProtocol All -SSLv2 -SSLv3
Из всей документации и веб-учебных руководств это должно отключить SSLv3.
Я перезапускаю апача с командой
sudo service apache2 restart
но нет никакого изменения. SSLv3 все еще перечислен.
Я попытался остановить сервер и повторно выполнить команду, чтобы гарантировать, что я случайно не проверяю неправильный сервер. Как ожидалось изменения результата.
Может любой предлагать то, что путает, я делаю.
Robert
Моя точная версия человечности:
root@xxxx:/etc/apache2/mods-enabled# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 14.04.1 LTS
Release: 14.04
Codename: trusty
Моя точная apache2 версия:
root@xxxx:~# apache2 -v
Server version: Apache/2.4.7 (Ubuntu)
Server built: Jul 22 2014 14:36:38
Моя точная openssl версия:
root@xxxx:~# openssl version
OpenSSL 1.0.1f 6 Jan 2014
Ссылки:
http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslprotocol
Я нашел, что у меня были другие файлы конфигурации, которые переопределили опцию.
было возможно найти файлы путем выполнения:
cd /etc/apache2
grep -r "SSLProto" .
в Вашем апачском конфигурационном файле используют ниже настроек:
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
затем перезапускают Вашего апача и проверяют Ваш сайт по телефону
https://www.ssllabs.com/ssltest/analyze.html?d=www.yourfancysite.com
, Он дал мне, градуируют (по состоянию на июль 2017), в то время как с моей предыдущей установкой у меня только был F :)
Кредиты к:
https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers /
SSLv2 больше не поддерживается.
Поэтому
SSLProtocol All -SSLv2 -SSLv3
не будет работать
SSLProtocol All -SSLv3
, будет