Acabo de probar mi sitio en https://www.ssllabs.com/ y decía que SSLv2 es inseguro y que debería desactivarlo junto con Cipher Suites débiles.
¿Cómo puedo desactivar eso? Intenté lo siguiente pero no funciona.
Fui a
/etc/httpd/conf.d/ssl.conf
por ftp. AdicionalSSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Conectado al servidor por masilla y dio el
service httpd restart
comando.
Pero todavía se muestra inseguro en el sitio. ¿Cómo puedo arreglarlo? Mi servidor es Plesk 10.3.1 CentOS. Hay 3-4 sitios en el mismo servidor.
Respuestas:
Cambie las líneas SSLProtocol y SSLCipherSuite a,
Vuelva a cargar su apache para que la configuración surta efecto.
El SSLHonorCipherOrder En tratará los sistemas de cifrado en el orden que se especifica.
La configuración anterior pasa la comprobación en ssllabs.com, excepto para la versión TLS. Mi CentOS 6 solo es compatible con TLS 1.0 debido a OpenSSL 1.0.0. OpenSSL 1.0.1 es compatible con TLS 1.1 y 1.2.
¿Tiene algún equilibrador de carga o proxy frente a su apache?
fuente
www.ssllabs.com
, todavía muestra que está habilitado. No estoy al tanto de `equilibrador de carga o proxy delante de apache`, ¿cómo puedo verificar esto? Te dejaré saber los detalles que necesites saber.openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
Es posible que desee asegurarse de que no haya otro
SSLProtocol
oSSLCiperSuite
directivo en ninguna parte de su configuración de Apache que anule el que acaba de agregar.Si no puede encontrarlo, intente agregar esos dos a su vhost SSL en lugar de hacerlo
ssl.conf
. Esto ayudará a garantizar que los correctos sean los últimos aplicados.fuente
grep -r SSLProtocol /etc/httpd
debería encontrar cualquier duplicado. En cuanto al SSL vhost, no sé dónde los pone Plesk, pero probablemente será con todos los otros vhosts. Un grep recursivo paraVirtualHost
,SSLCertificateFile
o el documentroot probablemente hará el truco./var/www/vhosts/mydomain/conf/vhost_ssl.conf
&/var/www/vhosts/mydomain/conf/vhost.conf
En ambos archivos que he agregadoSSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
todavía no funciona: /El que me funcionó
Prueba este.
fuente
Para deshabilitar SSL en Centos6.x Simplemente ejecute el siguiente comando:
ñam eliminar mod_ssl
Entonces
servicio httpd reload
Para habilitar SSL nuevamente, instale el paquete "mod_ssl" como:
yum install mod_ssl
Entonces
servicio httpd reload
fuente