Estoy trabajando en la remediación para algunas pruebas de penetración que habíamos hecho.
La prueba de penetración informa una vulnerabilidad POODLE debido a que SSv3 está habilitado.
Sin embargo, en la definición de VirtualHost de mi httpd.conf, tengo:
<VirtualHost *:443>
ServerAdmin [email protected]
ServerName myhost.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
Claramente, tengo -SSLv3 en la línea SSLProtocol anterior, y todo lo que he leído dice que si desactivo SSLv3, no estaré sujeto al ataque POODLE.
Pero probé el probador SSL en línea de Qualys y un script nmap 'ssl-poodle', que me dicen que todavía soy vulnerable.
¿Ayuda?
¿Alguien puede explicar lo que me he perdido aquí?
¡Gracias!
Actualización: Esto está en Oracle Linux 7.3, con Apache / 2.4.6
apache-http-server
ssl
Mark J. Bobak
fuente
fuente
TLSv1tampoco se considera seguro. Realmente solo debería haberTLSv1.2+habilitado en 2018. De todos modos, actualice su pregunta, para incluir qué versión de OpenSSL está utilizando, que se considera información importante en un caso como este.SSLCipherSuitey el hecho de que Qualys no tenga ninguna prueba válida de solo vTLSv1.1, lo que probablemente significa que su problema es que su versión de OpenSSL no incluye TLSv1.2 por defecto. Enviaría una respuesta a su pregunta específica, pero una respuesta existente ya explica la razón por la que no funciona.Respuestas:
Ok, me di cuenta de esto. Aunque tenía la
SSLProtocoldeclaración correcta en cadaVirtualHostdefinición en mi/etc/httpd/conf/httpd.confarchivo, aparentemente se requiere en laVirtualHostdefinición predeterminada en/etc/httpd/conf.d/ssl.conf.Una vez que lo agregué a ssl.conf, comenzó a funcionar.
fuente