Openssl
POODLE 密碼 !SSLv3 = 協議或密碼套件不匹配
根據:ANNOUNCE: Pound - 反向代理和負載均衡器 - v2.7d / Robert Segall,添加了以下增強功能:
- added "Disable PROTO" directives (fix for Poodle vulnerability)
我的系統:
[root@6svprx01 ~]# uname -a Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux [root@6svprx01 ~]# rpm -q Pound Pound-2.6-2.el6.x86_64 [root@6svprx01 ~]# grep Ciphers /etc/pound.cfg Ciphers "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM" [root@6svprx01 ~]#
…為了解決 POODLE SSLv3,我添加
!SSLv3
到Ciphers
.然而,在使用
Qualys SSL Labs - Projects / SSL Server Test
測試時,我進入Protocol or cipher suite mismatch
了Handshake Simulation
.有沒有辦法在不升級到 Pound v2.7d(測試版)然後使用新指令的情況下解決這個問題?
可以在 pcidss/v2.6 分支上使用 goochjj/pound,即 Pound 2.6,以及(最初)通過 PCI 合規性所需的密碼和協議更新檔,其中一部分是禁用 SSL3 的指令。
# grep DisableSSL /etc/pound.cfg DisableSSLv3 DisableSSLv2 #
*** 更新 ***
DisableSSLv3
似乎unknown directive
使用的是未修補的Version 2.6
,使用-SSLv3:-SSLv2
inside ofCiphers
。
@alexus 上面的回答對我來說非常有效。在這裡添加一些額外的註釋,以防其他人像我一樣遇到這個頁面。對於這種特定的問題組合,似乎沒有很多好的指導。
- 原始問題的原因是 Pound 的未修補版本在
!SSLv3
添加Ciphers
. TLS 主要依賴於相同的密碼,沒有它們就無法正常工作。
./configure
2) 當您嘗試在@alexus 連結中的修補版本上執行時,舊版本的 GCC 會出錯,因為它無法辨識-Wno-unused-result
標誌。我手動刪除了它,之後一切似乎都執行良好。3)
DisableSSLv3
指令進入ListenHTTPs
塊內pound.cfg
(指令旁邊Ciphers
)