Openssl

POODLE 密碼 !SSLv3 = 協議或密碼套件不匹配

  • February 11, 2016

根據:ANNOUNCE: Pound - 反向代理和負載均衡器 - v2.7d / Robert Segall,添加了以下增強功能:

- added "Disable PROTO" directives (fix for Poodle vulnerability)

我的系統:

[root@6svprx01 ~]# uname -a
Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux
[root@6svprx01 ~]# rpm -q Pound
Pound-2.6-2.el6.x86_64
[root@6svprx01 ~]# grep Ciphers /etc/pound.cfg
   Ciphers    "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM"
[root@6svprx01 ~]#

…為了解決 POODLE SSLv3,我添加!SSLv3Ciphers.

然而,在使用Qualys SSL Labs - Projects / SSL Server Test測試時,我進入Protocol or cipher suite mismatchHandshake Simulation.

有沒有辦法在不升級到 Pound v2.7d(測試版)然後使用新指令的情況下解決這個問題

可以在 pcidss/v2.6 分支上使用 goochjj/pound,即 Pound 2.6,以及(最初)通過 PCI 合規性所需的密碼和協議更新檔,其中一部分是禁用 SSL3 的指令。

# grep DisableSSL /etc/pound.cfg
   DisableSSLv3
   DisableSSLv2
# 

*** 更新 ***

DisableSSLv3似乎unknown directive使用的是未修補的Version 2.6,使用-SSLv3:-SSLv2inside of Ciphers

@alexus 上面的回答對我來說非常有效。在這裡添加一些額外的註釋,以防其他人像我一樣遇到這個頁面。對於這種特定的問題組合,似乎沒有很多好的指導。

  1. 原始問題的原因是 Pound 的未修補版本在!SSLv3添加Ciphers. TLS 主要依賴於相同的密碼,沒有它們就無法正常工作。

./configure2) 當您嘗試在@alexus 連結中的修補版本上執行時,舊版本的 GCC 會出錯,因為它無法辨識-Wno-unused-result標誌。我手動刪除了它,之後一切似乎都執行良好。

3)DisableSSLv3指令進入ListenHTTPs塊內pound.cfg(指令旁邊Ciphers

引用自:https://serverfault.com/questions/639242