Cách vô hiệu hóa SSLv2 cho Apache httpd

8

Tôi vừa thử nghiệm trang web của mình trên https://www.ssllabs.com/ và nó nói SSLv2 không an toàn và tôi nên vô hiệu hóa điều đó cùng với Coder Suites yếu.

Làm thế nào tôi có thể vô hiệu hóa điều đó? Tôi đã thử cách sau nhưng không được.

Đã đi /etc/httpd/conf.d/ssl.confbằng ftp. Thêm

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

Kết nối với máy chủ bằng putty và đưa ra service httpd restartlệnh.

Nhưng nó vẫn hiển thị không an toàn trên trang web. Làm thế nào tôi có thể sửa chữa nó? Máy chủ của tôi là Plesk 10.3.1 CentOS. Có 3-4 trang web trên cùng một máy chủ.

— Yahoo
nguồn

Một vài năm trước tôi đã gặp vấn đề trong khi gia hạn chứng chỉ ssl. Cấu hình mới đã bị bỏ qua, ngay cả sau khi khởi động lại apache. Ngừng apache sau đó bắt đầu apache giải quyết vấn đề.

@EricDANNIELOU - Tôi đã khởi động lại toàn bộ máy chủ, Vẫn không gặp may

— Yahoo

10

Thay đổi các dòng SSLProtocol và SSLCodesSuite thành,

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Tải lại apache của bạn để cấu hình có hiệu lực.

Các SSLHonorCipherOrder On sẽ thử các thuật toán mã hóa theo thứ tự nó được chỉ định.

Cấu hình trên vượt qua kiểm tra trên ssllabs.com ngoại trừ phiên bản TLS. CentOS 6 của tôi chỉ hỗ trợ TLS 1.0 vì OpenSSL 1.0.0. OpenSSL 1.0.1 hỗ trợ TLS 1.1 và 1.2.

Bạn có bất kỳ cân bằng tải hoặc proxy trước apache của bạn?

— Chida
nguồn

Tôi đã thêm các dòng mà bạn đã đề cập ở trên, nhưng nó vẫn không hoạt động. Khi tôi kiểm tra www.ssllabs.com nó vẫn hiển thị rằng nó được kích hoạt. Tôi không biết về 'bộ cân bằng tải hoặc proxy trước apache`, làm cách nào tôi có thể kiểm tra điều này? Tôi sẽ cho bạn biết chi tiết những gì bạn cần biết.

— Yahoo

Tuy nhiên khi tôi chạy cái này, tôi gặp Lỗi. Vì vậy, có vẻ như nó bị vô hiệu hóa, nhưng trang web không hiển thị nó.

openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#

— Yahoo

Nó có thể đến từ loadbalancer hoặc proxy của bạn từ một số ứng dụng phụ trợ khác. Không có nhiều chi tiết về thiết lập / kiến trúc của bạn, thật khó để gỡ lỗi. Cấu hình tôi đã đề cập, hoạt động cho apache của tôi phục vụ SSL trực tiếp và ssllabs.com cho tôi xếp hạng 88.

— Chida

Vì vậy, tôi nên vô hiệu hóa bộ cân bằng tải, Nếu nó có trên hệ thống? Làm thế nào tôi có thể tìm ra nếu nó được cài đặt trên không?

— Yahoo

Nếu apache lắng nghe trên cổng *: 80 và máy chủ của bạn có ip công khai tương ứng với trang web của bạn, thì không có loadbalancer. Ngoài ra kiểm tra hồ sơ dns cho vòng tròn.

3

Bạn có thể muốn đảm bảo rằng không có cái nào khác SSLProtocolhoặc SSLCiperSuitedirecive ở bất cứ đâu trong cấu hình Apache của bạn ghi đè lên cái bạn vừa thêm.

Nếu bạn không thể tìm thấy nó, hãy thử thêm hai cái đó vào SSL vhost của bạn chứ không phải ssl.conf. Điều này sẽ giúp đảm bảo rằng những cái chính xác là những cái cuối cùng được áp dụng.

— Ladadadada
nguồn

Không có bất kỳ mục trùng lặp trong tập tin. Làm cách nào tôi có thể kiểm tra SSL Vhost? Tập tin này được đặt ở đâu? (Mới ở đây)

— Yahoo

1

Sử dụng PuTTY, grep -r SSLProtocol /etc/httpdnên tìm bất kỳ bản sao. Đối với SSL vhost, tôi không biết Plesk đặt chúng ở đâu nhưng có lẽ nó sẽ ở cùng với tất cả các vhost khác. Một grep đệ quy cho VirtualHost, SSLCertificateFilehoặc documentroot có thể sẽ thực hiện thủ thuật.

— Ladadadada

/var/www/vhosts/mydomain/conf/vhost_ssl.conf & /var/www/vhosts/mydomain/conf/vhost.conf Trong cả hai tệp tôi đã thêm

SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

vẫn không hoạt động: /

— Yahoo

0

Người làm việc cho tôi

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

Hãy thử cái này

— Hamzah AbuAloush
nguồn

Bạn đang sử dụng Plesk? Vui lòng giải thích cách tình huống của bạn khớp với câu hỏi được mô tả trong câu hỏi ban đầu.

— Deer Hunter

-2

Để tắt SSL trong Centos6.x Chỉ cần chạy lệnh sau:

yum xóa mod_ssl

Sau đó

dịch vụ httpd tải lại

Để bật lại SSL, hãy cài đặt lại gói "mod_ssl" như:

yum cài đặt mod_ssl

Sau đó

dịch vụ httpd tải lại

— người dùng3060223
nguồn

Tôi nghĩ rằng người dùng chỉ muốn xóa SSL v2.

— Paul