Mọi người dường như đang nói về lỗ hổng POODLE ngày hôm nay. Và mọi người khuyên bạn nên vô hiệu hóa SSLv3 trong Apache bằng cách sử dụng chỉ thị cấu hình sau:
SSLProtocol All -SSLv2 -SSLv3
thay vì mặc định
SSLProtocol All -SSLv2
Tôi đã làm điều đó và không có niềm vui - sau khi thử nghiệm nhiều lần với nhiều công cụ khác nhau ( đây là một công cụ nhanh ), tôi thấy rằng SSLv3 được máy chủ của tôi chấp nhận một cách vui vẻ.
Vâng, tôi đã khởi động lại Apache. Có, tôi đã thực hiện đệ quy grep
trên tất cả các tệp cấu hình và tôi không có bất kỳ ghi đè nào ở bất cứ đâu. Và không, tôi không sử dụng một số phiên bản cổ của Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Vì vậy, những gì cho? Làm thế nào để một người thực sự vô hiệu hóa SSLv3 trong Apache?