タグ付けされた質問 「mod-ssl」

新たに発表されたSSL / TLSに対するブラウザーエクスプロイト（BEAST）などのセキュリティ問題の増加に照らして、OpenSSLおよびApacheでTLS 1.1および1.2を有効にして脆弱性を回避する方法を知りたいと思いました。そのような脅威ベクトルに。

33 apache-2.2  security  openssl  mod-ssl 

のSSLを設定していますApache 2。私のシステムはUbuntu Server 10.04 LTSです。仮想ホスト設定でSSLに関連する次の設定があります。 SSLEngine On SSLCertificateKeyFile /etc/ssl/private/server.insecure.key SSLCertificateFile /etc/ssl/certs/portal.selfsigned.crt （補足：.insecureファイルはパスフレーズで保護されていないため、キーファイルに使用していますが、安全でないキーファイルであることを明確に確認したいです） したがって、Apacheを再起動すると、次のメッセージが表示されます。 Syntax error on line 39 of /etc/apache2/sites-enabled/500-portal-https: SSLCertificateKeyFile: file '/etc/ssl/private/server.insecure.key' does not exist or is empty Error in syntax. Not restarting. しかし、ファイルはそこにあり、空ではありません（実際には秘密鍵が含まれています）。 sudo ls -l /etc/ssl/private/server.insecure.key -rw-r----- 1 root www-data 887 2012-08-07 15:14 /etc/ssl/private/server.insecure.key sudo ls -ld …

33 apache-2.2  ubuntu  ssl  ssl-certificate  mod-ssl 

2台のapacheサーバーの前にロードバランサーとして構成されたapache（2.4）サーバーを使用しています。ロードバランサーとバックエンドの間でhttp接続を使用すると正常に機能しますが、httpsを使用しても機能しません。ロードバランサーの構成： SSLProxyEngine on SSLProxyVerify none SSLProxyCheckPeerCN off <Proxy balancer://testcluster> BalancerMember https://[Backend1]:443/test BalancerMember https://[Backend2]:443/test </Proxy> ProxyPass /test balancer://testcluster 現在のところ、バックエンドには自己署名証明書しかありません。そのため、証明書の検証は無効になっています。 ロードバランサーのエラーログには次が含まれます。 [proxy:error] [pid 31202:tid 140325875570432] (502)Unknown error 502: [client ...] AH01084: pass request body failed to [Backend1]:443 ([Backend1]) [proxy:error] [pid 31202:tid 140325875570432] [client ...] AH00898: Error during SSL Handshake with remote server …

30 reverse-proxy  apache-2.4  mod-ssl  apache-2.2 

UbuntuのApache2で80のサイトをリッスンしているので、SSLを追加したいと思います。VirtualHostブロック全体をコピーする必要がないように、ポート443でSSLEngineを有効にする方法はありますか？ 私がこれを行うとき： Listen 80 Listen 443 NameVirtualHost * <VirtualHost *> SSLEngine On ... a bunch more lines... </VirtualHost> ポート80のSSLEngineをオンにします。VirtualHostブロックを1つだけ使用して、ポート443のSSLEngineのみをオンにする方法はありますか？だから私はこのようなことをすることができますか？ Listen 80 Listen 443 NameVirtualHost * <VirtualHost *> <IfPort 443> SSLEngine On </IfPort> ... a bunch of lines I don't want to copy into another VirutalHost block... </VirtualHost>

18 apache-2.2  mod-ssl 

ウェブサイトのmod_sslモジュールでHTTPSトラフィックをサポートしようとしています。サーバーでAmazon EC2インスタンスを実行しています。基本的なLAMPパッケージをインストールして構成しました。しかし、私は私のApacheの設定ファイルにSSL固有のコマンドに入れて行くとき（すなわち。SSLEngine、SSLCertificateFileなど）はエラーを吐くと私は構文エラーを持っているか、モジュールがロードされていないことを言います。 私の次のステップは試してみること$ sudo yum install mod_sslでした。しかし、yumは戻ってきて、「Processing Conflict ... Error：httpd24-tools conflicts with httpd-tools」と言います。そのため、mod_sslはhttpd-toolsパッケージに含まれていると考えました。それから走りました$ sudo yum install httpd24-toolsが、戻ってきて、すでにそのパッケージがインストールされていると表示されます。 httpd-toolsパッケージがインストールされていて、mod_sslがシステムにロードされないのはなぜですか？mod_sslはhttpd-toolsパッケージに含まれていませんか？<?php echo phpinfo(); ?>念のため、テスト用のphpファイルを作成しました。私の疑いは確認されました。phpinfoのapache2handlerロード済みモジュールテーブルの下に「mod_ssl」はリストされていません。 そのため、mod_sslをAmazon Linux AMIでロード/インストール/設定する方法が正確にはわかりません。任意の助けをいただければ幸いです。現在の仕様は次のとおりです。 Amazon Linux AMI 2012.09 Apache 2.4 PHP 5.4 このコマンドを実行して、サーバーをセットアップします。 $ sudo yum install httpd24 php54 php54-devel php54-mysql php54-common php54-gd php54-xml php54-mbstring php54-mcrypt php54-pecl-apc mysql-server mod_ssl openssl …

15 apache-2.2  amazon-ec2  https  mod-ssl  configuration 

Network SolutionsのWebサイト用のSSL証明書があります。Apache / OpenSSLをバージョン2.4.9にアップグレードした後、HTTPDを起動すると次の警告が表示されます。 AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead mod_sslのApacheマニュアルによると、これは確かにそうです。 SSLCertificateChainFileは非推奨です SSLCertificateChainFileは、SSLCertificateFileがサーバー証明書ファイルから中間CA証明書もロードするように拡張されたときに、バージョン2.4.8で廃止されました。 ドキュメント見上げるSSLCertificateFileを、私はちょうどに私の呼び出し置き換えるために必要なように、それが見えたSSLCertificateChainFileとSSLCertificateFileを。 この変更により、ssl.confは次のようになりました。 SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateKeyFile /etc/ssl/server.key SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt これに： SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateFile /etc/ssl/Apache_Plesk_Install.txt SSLCertificateKeyFile /etc/ssl/server.key ...しかし、これは機能しません。Apacheは、エラーメッセージなしで起動を拒否します。 私はmod_sslやSSL証明書全般にそれほど詳しくないので、ここで他に何を試すべきかわかりません。サイトにSSL警告を表示しないようにInternet ExplorerのApache_Plesk_Install.txtファイルを追加する必要があったことを覚えていますが、これ以外には手がかりがありません。 どんな助けも大歓迎です。ありがとう。

14 ssl-certificate  apache-2.4  mod-ssl  certificate 

Apache 2.2.22とmod_sslおよびOpenSSL v1.0.1を実行するUbuntu 12.04.2 LTSサーバーがあります。 私のvhosts構成（その中の他のすべてが期待どおりに動作する）には、のSSLProtocol行があり-all +SSLv3ます。 その構成では、TLS 1.1および1.2が有効になり、正しく機能します。これは、その構成では SSLv3 のみが有効になると予想されるため、直感に反します。 でTLSv1を有効/無効にできますが-/+TSLv1、期待どおりに機能します。しかし+/-TLSv1.1、+/-TLSv1.2有効な構成オプションではないため、そのように無効にすることはできません。 なぜこれをしたいのか-TLS対応サーバーでバグのある動作をしているサードパーティアプリケーション（私は制御できません）を扱っていますが、前進するには完全に無効にする必要があります。

13 apache-2.2  ssl  openssl  tls  mod-ssl 

TLS圧縮に対するCRIME攻撃（CVE-2012-4929、CRIMEはssl＆tlsに対するBEAST攻撃の後継です）について読みましたが、Apacheに追加されたSSL圧縮を無効にすることでこの攻撃からWebサーバーを保護したいです2.2.22（バグ53219を参照）。 httpd-2.2.15に付属するScientific Linux 6.3を実行しています。httpd 2.2のアップストリームバージョンのセキュリティ修正は、このバージョンにバックポートする必要があります。 # rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's Module Magic Number: 20051115:24 Server loaded: APR 1.3.9, APR-Util 1.3.9 Compiled using: APR 1.3.9, APR-Util 1.3.9 構成でSSLCompressionをオフにしようとしましたが、次のエラーメッセージが表示されます。 # /etc/init.d/httpd restart Stopping httpd: [ OK ] Starting …

13 apache-2.2  security  tls  mod-ssl 

Windows Server 2003 R2 32ビット上でApache 2.4.2（実際には実行しようとしている）を実行しています（加えて、PHP 5.4.5およびOpenSSL 1.0.1cですが、それは重要ではないと思います）。エラーログの次の行： [Sun Aug 05 11:52:39.546875 2012] [ssl:warn] [pid 5712:tid 348] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache] 接続しようとするとhttps://localhost/102-接続拒否エラーが発生します。 私を困惑させるのは、それSSLSessionCache が構成されていることです： SSLSessionCache "shmcb:C:/Program Files/Apache Software Foundation/Apache2.4/logs/ssl_scache(512000)" これは、Apache 2.2.17（2.4ではなく/Apache2.2を除く）で使用した構成ファイルとまったく同じ行で、問題なく実行されます。mod_statusを使用すると、「SSL / TLSセッションキャッシュステータス」の情報が表示されませんが、Apache 2.2の場合は表示されます。 2つのhttpd-ssl.confファイルには、主にパス間で多くの違いがあるとは思いませんが、問題ないようです。 ポート80の仮想サーバーは正常に実行されます。 何が欠けていますか？ 編集：不思議に思っている人にとって、これはマシンがを解決できなかったときに誰かが受け取った誤解を招く警告ではありませんServerName。Apache 2.2では問題なく、DNSキャッシュをでフラッシュすることもできましたnetstat /flushdns。

12 apache-2.2  windows  windows-server-2003  mod-ssl 

以下のためのApacheのmod_sslのドキュメントSSLCertificateFileとSSLCertificateKeyFile同じファイル内の秘密鍵とSSL証明書を保存するために「強く推奨」されていることを指令状態。 秘密鍵ファイルは安全に保管する必要がありますが、その場合、同じファイルに証明書を保存する際に特定のリスクはありますか？この振る舞いがサポートされている理由を知りたいのですが、説明なく強くお勧めします。

11 apache-2.2  ssl  web-server  mod-ssl 

mod_sslを使用するときにApache 2.2.xでSSL / TLS圧縮を無効にする方法はありますか？ そうでない場合、古いブラウザでのCRIME / BEASTの影響を軽減するために人々は何をしていますか？ 関連リンク： https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl 

mod_proxy SSLCACertificatePathディレクティブを使用しようとしていますが、適切に使用する方法について少し混乱しています。 ここでSSLCACertificatePathディレクティブを説明する2つのリンクがある： http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13 ハッシュ化されたシンボリックリンクを作成する方法については、前向きではありません。2番目のリンクでは、ApacheのMakeファイルを使用するように記載されていますが、そこで正確に何が言われているのかまったくわかりません。 フレンドリーなガイダンスをいただければ幸いです。 お時間をいただきありがとうございます。 更新 私の質問の目的は、エンドユーザーのクライアント証明書を検証するために複数のCAを処理する方法を理解することでした。複数のpem証明書が1つのファイルで使用されている可能性があることに気付きませんでした。私の場合、これは明らかに前進する正しい方法です。

9 apache-2.2  ssl  mod-ssl 

https://www.ssllabs.com/で自分のサイトをテストしたところ、SSLv2は安全ではないため、脆弱な暗号スイートと一緒に無効にする必要があります。 どうすれば無効にできますか？以下を試しましたが動作しません。 /etc/httpd/conf.d/ssl.confftpで行った。追加されました SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT puttyでサーバーに接続し、service httpd restartコマンドを発行しました。 しかし、それでもサイト上では安全ではないように見えます。どうすれば修正できますか？私のサーバーはPlesk 10.3.1 CentOSです。同じサーバー上に3〜4つのサイトがあります。

8 apache-2.2  centos  ssl  mod-ssl  pci-dss