Làm cách nào để tắt SSLCompression trên Apache httpd 2.2.15? (Phòng thủ chống lại CRIME / BEAST)

Tôi đã đọc về cuộc tấn công CRIME chống lại TLS Nén ( CVE-2012-4929 , CRIME là sự kế thừa cho cuộc tấn công BEAST chống lại ssl & tls) và tôi muốn bảo vệ máy chủ web của mình chống lại cuộc tấn công này bằng cách vô hiệu hóa Nén SSL , được thêm vào Apache 2.2.22 (Xem lỗi 53219 ).

Tôi đang chạy Science Linux 6.3, được phát hành với httpd-2.2.15. Các bản sửa lỗi bảo mật cho các phiên bản ngược dòng của httpd 2.2 nên được nhập vào phiên bản này.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

Tôi đã thử tắt SSLCompression trong cấu hình của mình, nhưng điều đó dẫn đến thông báo lỗi sau:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

Có thể tắt SSLCompression với phiên bản Máy chủ web Apache này không?

Vào ngày 4 tháng 3 năm 2013, Red Hat đã cung cấp các gói OpenSSL được cập nhật nhằm giải quyết vấn đề này . Bạn có thể nhận được chúng thông qua các kênh cập nhật bình thường của bạn.

Câu trả lời ban đầu là:

Red Hat đã không cung cấp một gói cập nhật cung cấp chức năng này , mặc dù có một cách giải quyết có sẵn. Chỉnh sửa /etc/sysconfig/httpdtệp và thêm dòng này vào nó:

export OPENSSL_NO_DEFAULT_ZLIB=1

Sau đó khởi động lại Apache:

service httpd restart

Điều này sẽ khiến OpenSSL, cung cấp các chức năng mã hóa cho Apache, không cung cấp nén.