Todo el mundo parece estar hablando de la vulnerabilidad POODLE hoy. Y todos recomiendan desactivar SSLv3 en Apache utilizando la siguiente directiva de configuración:
SSLProtocol All -SSLv2 -SSLv3
en lugar del predeterminado
SSLProtocol All -SSLv2
Lo he hecho, y no me alegro: después de probar repetidamente con varias herramientas ( aquí hay una rápida ), encuentro que SSLv3 es felizmente aceptado por mi servidor.
Sí, reinicié Apache. Sí, hice un recursivo grep
en todos los archivos de configuración, y no tengo ninguna anulación en ningún lado. Y no, no estoy usando alguna versión antigua de Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Entonces, ¿qué da? ¿Cómo se deshabilita realmente SSLv3 en Apache?
ssl
apache-httpd
Bogdan Stăncescu
fuente
fuente
Respuestas:
Tuve el mismo problema ... Tienes que incluir
SSLProtocol all -SSLv2 -SSLv3
dentro de cada estrofa VirtualHost en httpd.confLas estrofas de VirtualHost están generalmente hacia el final del archivo httpd.conf. Así por ejemplo:
Compruebe también ssl.conf o httpd-ssl.conf o similar, ya que pueden estar configurados allí, no necesariamente en httpd.conf
fuente
SSLProtocol
configurado fuera de las estrofas de VirtualHost se aplicará a todos los hosts virtuales.nmap -sV --script ssl-enum-ciphers -p 443 <hostname>
.SSLProtocol
sistema, sin tener que editar cada VirtualHost?Tuve el mismo problema en Ubuntu 14.04. Después de leer esto, edité la sección "SSLProtocol" en
/etc/apache2/mods-available/ssl.conf
.SSLProtocol all
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
Pero no funcionó. Así que también edité la siguiente sección "SSLCipherSuite"
/etc/apache2/mods-available/ssl.conf
.SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
Y ahora ahora funciona para mí.
Por cierto, los Cipher Suites no se ven afectados por POODLE, solo por el protocolo, pero la mayoría de los navegadores están de acuerdo con un SSLv3 Cipher Suite deshabilitado.
¡No uses esto para un servidor de correo! O (tal vez) enfrentará el problema de no poder recuperar sus correos en algunos dispositivos.
fuente
Para Ubuntu 10.04
Para deshabilitar SSLv3 en todos los vhosts activos, necesita la opción en
/etc/apache2/mods-available/ssl.conf:
fuente
Tuve un problema similar esta mañana, y encontré otro host virtual que habilita SSLv3, por lo que todo el servidor responde a las conexiones SSLv3.
Por lo tanto, asegúrese de que ninguno de sus hosts tenga SSLv3 activo.
fuente
Asegúrese de que SSLCipherSuite no contenga! SSLv3. En ese contexto, también se refiere a TLS1.0 y TLS1.1.
Por ejemplo, si su configuración es SSLProtocol All , solo TLS1.2 estará disponible debido a cómo SSLCipherSuite está configurado con! SSLv3.
fuente
Para los usuarios de CentO que tienen problemas para editar su archivo de configuración SSL a través de SSH, intente deshabilitar SSLv3 a través de WHM :
Paso 1: navega hasta el editor de inclusión
-Inicie sesión en WHM -Abra la pantalla "Configuración de Apache" y haga clic en "Incluir editor"
Paso 2: Edite el Incluye
-En "Preincluir principal", seleccione "Todas las versiones". De esta manera, su servidor estará protegido si cambia su versión de Apache. Cuando esté seleccionado, ingrese lo siguiente en el cuadro de texto:
En CentOS / RHEL 6.x:
SSLHonorCipherOrder en
SSLProtocol -All + TLSv1 + TLSv1.1 + TLSv1.2
En CentOS / RHEL 5.x:
SSLHonorCipherOrder en
SSLProtocol -All + TLSv1
... y luego haga clic en Actualizar .
Una vez que haga clic en actualizar, se le pedirá que reinicie Apache; hazlo en este momento.
fuente original: https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/
fuente
El método que está utilizando es para la nueva versión de Apache y Openssl. Es posible que la nueva versión de estos no esté instalada en su sistema, verifique la versión instalada actual.
Dado
SSLv2
ySSLv3
ambos son vulnerables de algunos ataques, por lo que sería mejor utilizar solamente TLS. Así que modifique su archivo de configuración de Apache de la siguiente manera,o
fuente
Tuve un problema similar y verifiqué que tenía todas las configuraciones de apache correctas.
Sin embargo, lo que me perdí fue que tenía nginx como proxy inverso frente a apache. También uso Plesk y esto es de su guía de soluciones POODLE :
fuente