Saya baru saja menguji situs saya di https://www.ssllabs.com/ dan katanya SSLv2 tidak aman dan saya harus menonaktifkannya bersama dengan Cipher Suites yang lemah.
Bagaimana saya bisa menonaktifkannya? Saya mencoba yang berikut tetapi tidak berhasil.
Pergi
/etc/httpd/conf.d/ssl.conf
dengan ftp. DitambahkanSSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Terhubung ke server dengan dempul dan memberi
service httpd restart
perintah.
Tapi tetap saja ini menunjukkan ketidakamanan di situs. Bagaimana saya bisa memperbaikinya? Server saya adalah Plesk 10.3.1 CentOS. Ada 3-4 situs di server yang sama.
Jawaban:
Ubah saluran SSLProtocol dan SSLCipherSuite menjadi,
Muat ulang apache Anda agar konfigurasi berfungsi.
The SSLHonorCipherOrder Pada akan mencoba cipher dalam urutan itu ditentukan.
Konfigurasi di atas melewati pemeriksaan pada ssllabs.com kecuali untuk versi TLS. CentOS 6 saya hanya mendukung TLS 1.0 karena OpenSSL 1.0.0. OpenSSL 1.0.1 mendukung TLS 1.1 dan 1.2.
Apakah Anda memiliki penyeimbang beban atau proksi di depan apache Anda?
sumber
www.ssllabs.com
masih menunjukkan bahwa itu diaktifkan. Saya tidak mengetahui tentang `load balancer atau proxy di depan apache`, Bagaimana saya bisa memeriksanya? Saya akan memberi tahu Anda detail apa yang perlu Anda ketahui.openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
Anda mungkin ingin memastikan bahwa tidak ada yang lain
SSLProtocol
atauSSLCiperSuite
arah di mana saja di konfigurasi Apache Anda yang menimpa yang baru saja Anda tambahkan.Jika Anda tidak dapat menemukannya, coba tambahkan keduanya ke vhost SSL Anda daripada
ssl.conf
. Ini akan membantu memastikan bahwa yang benar adalah yang terakhir diterapkan.sumber
grep -r SSLProtocol /etc/httpd
harus menemukan duplikat. Adapun vhost SSL, saya tidak tahu di mana Plesk menempatkan mereka tetapi mungkin dengan semua vhost lainnya. Grep rekursif untukVirtualHost
,SSLCertificateFile
atau documentroot mungkin akan melakukan trik./var/www/vhosts/mydomain/conf/vhost_ssl.conf
&/var/www/vhosts/mydomain/conf/vhost.conf
Di kedua file yang saya TambahkanSSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
masih tidak berfungsi: /Yang satu bekerja untuk saya
Coba yang ini.
sumber
Untuk menonaktifkan SSL di Centos6.x Cukup jalankan perintah berikut:
yum hapus mod_ssl
Kemudian
layanan httpd reload
Untuk mengaktifkan SSL lagi instal lagi paket "mod_ssl" seperti:
yum instal mod_ssl
Kemudian
layanan httpd reload
sumber