Banyak klien SSL, terutama JDK 6, menggunakan protokol SSLv2Hello untuk berjabat tangan dengan server. Menggunakan protokol ini tidak berarti Anda menggunakan SSL 2.0 atau 3.0 dalam hal ini; itu hanya jabat tangan untuk menentukan protokol mana yang akan digunakan. [ http://tools.ietf.org/html/rfc5246#appendix-E.2]
Namun, di Apache, jika Anda menonaktifkan dukungan SSLv3, ini tampaknya menghapus dukungan untuk protokol SSLv2Hello. Apache Tomcat memiliki dukungan eksplisit untuk SSLv2Hello; yaitu, Anda dapat mengaktifkannya, tetapi tidak mengaktifkan SSLv3.
Apakah ada cara untuk melakukan ini di Apache?
[Memperbarui]
Ini adalah konfigurasi protokol saya:
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
apache-2.2
java
poodle
Matt Hughes
sumber
sumber
However, in Apache, if you disable SSLv3 support, this apparently removes support for the SSLv2Hello protocol.
Saya menjalankan Apache 2.2 denganSSLProtocol all -SSLv2 -SSLv3
dan handshake SSL 2 berfungsi. Konfigurasi apa yang Anda jalankan persis yang Anda punya masalah. Satu-satunya cara saya tahu untuk menonaktifkan Handshake SSL 2 adalah mengaktifkan mode FIPS.Jawaban:
Rupanya mod_ssl telah berubah dalam setahun terakhir ini (saya belum menemukan komit yang tepat untuk sumbernya, tetapi menemukan "masalah"). Sumber sekarang melakukan ini:
Tidak ada penggantian untuk pengaturan ini. Satu-satunya hal yang dapat Anda lakukan adalah mengedit sumber, kompilasi ulang versi Anda sendiri. Saya telah membuat diff untuk memaksa kompatibilitas Handshake SSLv2 jika Anda ingin mengompilasi sendiri.
sumber
sslscan
menandai kerentanan apa pun. Tapi tambalan itu tampaknya agak invasif dan saya ingin meminta Chris untuk mengirimkannya ke proyek Apache untuk ditinjau ASAP. Saya akan mengajukan tiket sendiri, jika Chris tidak :-) Terima kasih banyak, Chris!Jadi ternyata ini bukan masalah selama ini. Apache akan menerima handshake SSLv2 dengan salah satu konfigurasi yang saya posting di atas. Saya disesatkan oleh kesalahan jabat tangan dengan berpikir bahwa inilah masalahnya; itu benar-benar hanya masalah konfigurasi di mana server tidak mempercayai CA klien.
sumber