Apache httpdのSSLv2を無効にする方法

8

https://www.ssllabs.com/で自分のサイトをテストしたところ、SSLv2は安全ではないため、脆弱な暗号スイートと一緒に無効にする必要があります。

どうすれば無効にできますか？以下を試しましたが動作しません。

/etc/httpd/conf.d/ssl.confftpで行った。追加されました

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

puttyでサーバーに接続し、service httpd restartコマンドを発行しました。

しかし、それでもサイト上では安全ではないように見えます。どうすれば修正できますか？私のサーバーはPlesk 10.3.1 CentOSです。同じサーバー上に3〜4つのサイトがあります。

— ヤフー
ソース

数年前、SSL証明書の更新中に問題が発生しました。Apacheを再起動した後でも、新しい構成は無視されました。Apacheを停止してからApacheを起動すると、問題は解決しました。

@EricDANNIELOU-サーバー全体を再起動しましたが、まだうまくいきませんでした

— Yahoo、

10

SSLProtocolおよびSSLCipherSuite行を次のように変更します。

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Apacheをリロードして、設定を有効にします。

SSLHonorCipherOrderでは、それが指定されているために、暗号をしようとします。

上記の構成は、TLSバージョンを除いて、ssllabs.comのチェックに合格します。私のCentOS 6は、OpenSSL 1.0.0のため、TLS 1.0のみをサポートしています。OpenSSL 1.0.1はTLS 1.1および1.2をサポートします。

Apacheの前にロードバランサーまたはプロキシがありますか？

— ちだ
ソース

上記の行を追加しましたが、それでも機能しません。チェックするwww.ssllabs.com と、まだ有効になっていることが表示されます。「ロードバランサまたはapacheの前のプロキシ」について知らないのですが、どうすれば確認できますか？詳細をお知らせします。

— Yahoo、

しかし、これを実行すると、エラーが発生します。無効になっているようですが、サイトには表示されていません。

openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#

— Yahoo、

ロードバランサーまたは他のバックエンドアプリケーションのプロキシから送信されている可能性があります。セットアップ/アーキテクチャに関する詳細がなければ、デバッグは困難です。私が述べた構成は、SSLを直接ssllabs.com私の88の評価を与える機能私のapacheのために働く

— 千田

システムにロードバランサーがある場合、それを無効にする必要がありますか？インストールされているかどうかを確認するにはどうすればよいですか？

— Yahoo、

Apacheがポート*：80でリッスンし、サーバーにWebサイトに対応するパブリックIPがある場合、ロードバランサーはありません。また、ラウンドロビンのDNSレコードを確認してください。

3

追加したばかりの構成を上書きするApache構成のどこにも他のものがなかっSSLProtocolたり、SSLCiperSuite方向性がないことを確認したい場合があります。

見つからない場合は、2つではなく、SSL仮想ホストに2つ追加してみてくださいssl.conf。これは、正しいものが最後に適用されたものであることを確認するのに役立ちます。

— ラダダダダ
ソース

ファイルに重複するエントリはありません。SSL仮想ホストをチェックインするにはどうすればよいですか？このファイルはどこにありますか？（ここに新規）

— Yahoo

1

PuTTYを使用すると、grep -r SSLProtocol /etc/httpd重複が検出されます。SSL vhostについては、Pleskがそれらをどこに置くかわかりませんが、おそらく他のすべてのvhostでも同じです。以下のための再帰のgrep VirtualHost、SSLCertificateFileまたはDocumentRootのはおそらく、トリックを行います。

— Ladadadada 2012

/var/www/vhosts/mydomain/conf/vhost_ssl.conf ＆/var/www/vhosts/mydomain/conf/vhost.conf 追加した両方のファイルで

SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

まだ機能しません：/

— Yahoo

0

1つは私のために働いた

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

これを試してみてください。

— ハムザ・アブアロッシュ
ソース

Pleskを使用していますか？状況が元の質問で説明されている状況とどのように一致するかについて詳しく説明してください。

— ディアハンター

-2

Centos6.xでSSLを無効にするには、次のコマンドを実行します。

yumはmod_sslを削除します

その後

サービスhttpdリロード

SSLを再度有効にするには、次のように「mod_ssl」パッケージをインストールします。

yum install mod_ssl

その後

サービスhttpdリロード

— user3060223
ソース

ユーザーはSSL v2のみを削除したいと考えています。

— ポール、