Ssl
無法在 Apache 中為 POODLE 禁用 SSLv3
我的一位客戶希望我在他的伺服器上升級 openssl 和 Apache,因為他想從 SSLLabs 收到 A。我繼續升級到 Apache 2.4.18 和 openssl 到 1.0.2e 版本。然後我修改了 Apache 的 SSL 配置以匹配以下內容:
# SSL Protocols/Ciphers SSLProtocol All -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256::kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK SSLCompression off
我從 SSL Labs 執行了 SSL 測試,但仍然收到以下警告:
該伺服器容易受到 POODLE 攻擊。如果可能,請禁用 SSL 3 以減輕影響。等級上限為 C。
在協議列表中,它對 SSL 3 說是,即使上面的語句說它應該被禁用。
我通過在網上搜尋嘗試了許多密碼組合,但我總是得到相同的結果。我還在任何 *.conf 文件中搜尋了 SSL 配置,但除了我上面的 SSL 文件外,沒有其他文件。
網站網址:https ://orders.expotools.biz
SSL 實驗室:https ://www.ssllabs.com/ssltest/analyze.html?d=orders.expotools.biz
為了使它工作,我不得不使用以下命令重新編譯 openssl
./config --prefix=/usr no-threads shared no-ssl3
。我還必須在啟用更改後重新編譯 apache。像魅力一樣工作。
ssllabs 可能正在記憶體結果。我記得使用 ssllabs 結果頁面上的連結或按鈕來清除記憶體並重新檢查 Web 伺服器。