Cara Nonaktifkan SSLv2 untuk Apache httpd

8

Saya baru saja menguji situs saya di https://www.ssllabs.com/ dan katanya SSLv2 tidak aman dan saya harus menonaktifkannya bersama dengan Cipher Suites yang lemah.

Bagaimana saya bisa menonaktifkannya? Saya mencoba yang berikut tetapi tidak berhasil.

  1. Pergi /etc/httpd/conf.d/ssl.confdengan ftp. Ditambahkan

    SSLProtocol -ALL +SSLv3 +TLSv1
    SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    
  2. Terhubung ke server dengan dempul dan memberi service httpd restartperintah.

Tapi tetap saja ini menunjukkan ketidakamanan di situs. Bagaimana saya bisa memperbaikinya? Server saya adalah Plesk 10.3.1 CentOS. Ada 3-4 situs di server yang sama.

Yahoo
sumber
Beberapa tahun yang lalu saya mengalami masalah saat memperbarui sertifikat ssl. Konfigurasi baru diabaikan, bahkan setelah apache restart. Menghentikan apache lalu memulai apache menyelesaikan masalah.
@EricDANNIELOU - Saya reboot seluruh server, Masih tidak berhasil
Yahoo

Jawaban:

10

Ubah saluran SSLProtocol dan SSLCipherSuite menjadi,

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Muat ulang apache Anda agar konfigurasi berfungsi.

The SSLHonorCipherOrder Pada akan mencoba cipher dalam urutan itu ditentukan.

Konfigurasi di atas melewati pemeriksaan pada ssllabs.com kecuali untuk versi TLS. CentOS 6 saya hanya mendukung TLS 1.0 karena OpenSSL 1.0.0. OpenSSL 1.0.1 mendukung TLS 1.1 dan 1.2.

Apakah Anda memiliki penyeimbang beban atau proksi di depan apache Anda?

Chida
sumber
Saya menambahkan baris yang Anda sebutkan di atas, Tapi tetap saja tidak berhasil. Ketika saya memeriksa www.ssllabs.com masih menunjukkan bahwa itu diaktifkan. Saya tidak mengetahui tentang `load balancer atau proxy di depan apache`, Bagaimana saya bisa memeriksanya? Saya akan memberi tahu Anda detail apa yang perlu Anda ketahui.
Yahoo
Namun ketika saya menjalankan ini, saya mendapatkan Kesalahan. Jadi sepertinya dinonaktifkan, tetapi situs tidak menunjukkannya. openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
Yahoo
Itu bisa berasal dari loadbalancer Anda atau proksi dari beberapa aplikasi backend lainnya. Tanpa banyak detail pada pengaturan / arsitektur Anda, sulit untuk di-debug. Konfigurasi yang saya sebutkan, berfungsi untuk apache saya yang melayani SSL secara langsung dan ssllabs.com memberi saya peringkat 88.
Chida
Jadi saya harus Nonaktifkan load balancer, Jika ada di sistem? Bagaimana saya bisa mengetahui apakah itu diinstal pada tidak?
Yahoo
Jika apache mendengarkan pada port *: 80 dan server Anda memiliki ip publik yang sesuai dengan situs web Anda, tidak ada loadbalancer. Juga periksa catatan dns untuk round robin.
3

Anda mungkin ingin memastikan bahwa tidak ada yang lain SSLProtocolatau SSLCiperSuitearah di mana saja di konfigurasi Apache Anda yang menimpa yang baru saja Anda tambahkan.

Jika Anda tidak dapat menemukannya, coba tambahkan keduanya ke vhost SSL Anda daripada ssl.conf. Ini akan membantu memastikan bahwa yang benar adalah yang terakhir diterapkan.

Ladadadada
sumber
Tidak ada entri duplikat dalam file. Bagaimana saya bisa mengecek di SSL Vhost? Di mana file ini ditempatkan? (Baru di sini)
Yahoo
1
Menggunakan Putty, grep -r SSLProtocol /etc/httpdharus menemukan duplikat. Adapun vhost SSL, saya tidak tahu di mana Plesk menempatkan mereka tetapi mungkin dengan semua vhost lainnya. Grep rekursif untuk VirtualHost, SSLCertificateFileatau documentroot mungkin akan melakukan trik.
Ladadadada
/var/www/vhosts/mydomain/conf/vhost_ssl.conf & /var/www/vhosts/mydomain/conf/vhost.conf Di kedua file yang saya Tambahkan SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMmasih tidak berfungsi: /
Yahoo
0

Yang satu bekerja untuk saya

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

Coba yang ini.

Hamzah AbuAloush
sumber
Apakah Anda menggunakan Plesk? Tolong jelaskan bagaimana situasi Anda cocok dengan yang dijelaskan dalam pertanyaan asli.
Deer Hunter
-2

Untuk menonaktifkan SSL di Centos6.x Cukup jalankan perintah berikut:

yum hapus mod_ssl

Kemudian

layanan httpd reload

Untuk mengaktifkan SSL lagi instal lagi paket "mod_ssl" seperti:

yum instal mod_ssl

Kemudian

layanan httpd reload

pengguna3060223
sumber
Saya pikir pengguna hanya ingin menghapus SSL v2.
Paul