ApacheでSSLv3を無効にする方法は?


76

今日、誰もがPOODLEの脆弱性について話しているようです。また、次の構成ディレクティブを使用して、ApacheでSSLv3を無効にすることをお勧めします。

SSLProtocol All -SSLv2 -SSLv3

デフォルトの代わりに

SSLProtocol All -SSLv2

さまざまなツール(ここでは高速なツール)を繰り返しテストした後、SSLv3が私のサーバーで喜んで受け入れられていることがわかりました。

はい、Apacheを再起動しました。はい、grepすべての構成ファイルを再帰的に処理しましたが、どこにもオーバーライドはありません。そしていや、Apacheの古いバージョンを使用していません。

[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built:   Jul 23 2014 14:17:29

それで、何が得られますか?ApacheでSSLv3を実際に無効にするにはどうすればよいですか?



5
質問で説明したように、私はそのセクションに示されているすべてのステップを実行しましたが、SSL3はまだ利用可能です。そのセクションのどの特定の部分がSSL3を無効にできないのかを説明することはできませんでしたが、ポイントは、それが完全に無効ではないということです。そうは言っても、あなたは現時点でモデレーターの帽子をかぶっていることを理解しているので、質問を保留にしてください。

回答:


80

私は同じ問題を抱えていました... SSLProtocol all -SSLv2 -SSLv3httpd.confのすべてのVirtualHostスタンザに含める必要があります

VirtualHostスタンザは通常、httpd.confファイルの終わりに向かっています。たとえば、次のとおりです。

...
...
<VirtualHost your.website.example.com:443>
    DocumentRoot /var/www/directory
    ServerName your.website.example.com

    ...
    SSLEngine on
    ...
    SSLProtocol all -SSLv2 -SSLv3
    ...
</VirtualHost>

また、ssl.confまたはhttpd-ssl.confなどをチェックします。これらは必ずしもhttpd.confに設定されているとは限らないため、そこに設定される可能性があるためです。


3
記録については、sysadmin / webmasterによっては、VirtualHostsがconf.dの専用ファイル内に住んでいる場合があります(これは私が家に入れておくのが好きな方法です。唯一のものではありません)。
ボグダンStăncescu14年

3
少なくともSSLProtocolVirtualHostスタンザの外部で構成されたApache 2.4+ がすべての仮想ホストに適用されることに注意してください。
ぬりかべ

2
私はあなたのサーバがのSSLv3が無効になっているかどうか、他のもののうち、テストします。このツールを見つけました:ssllabs.com/ssltest/index.html
amphetamachine

1
この回答は、TLSv1を無効にするときに非常に役立ちました。特定のプロトコルが完全に無効になっているかどうかを確認するには、次のことが役立ちましたnmap -sV --script ssl-enum-ciphers -p 443 <hostname>
ルカシティ

SSLProtocol各VirtualHostを編集せずに、システム全体をセットアップする方法はありますか?
ドゥナトタトス

10

Ubuntu 14.04でも同じ問題が発生しました。これを読んだ後、のセクション「SSLProtocol」を編集しました/etc/apache2/mods-available/ssl.conf

  • から: SSLProtocol all
  • に: SSLProtocol all -SSLv2 -SSLv3 -TLSV1

しかし、うまくいきませんでした。そこで、次のセクションも「SSLCipherSuite」で編集しました /etc/apache2/mods-available/ssl.conf

  • から: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
  • に: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

そして今、それは今私のために動作します。

ちなみに、暗号スイートはPOODLEの影響を受けず、プロトコルのみの影響を受けますが、ほとんどのブラウザーはSSLv3暗号スイートを無効にしても問題ありません。

これをメールサーバーに使用しないでください!または、(おそらく)一部のデバイスでメールを取得できないという問題に直面します。


ありがとうございました。この回答は、WHM / cPanelセットアップで有効でした。オンラインで提案された他の方法を試してみましたが、機能したのはあなただけです。
ヴォイテックツィリンスキー14年

1
これは機能しますが、デフォルトでSSLv3およびTLS1.0を使用するため、IE 10でのアクセスを無効にします。
エレバス

4

Ubuntu 10.04の場合

すべてのアクティブな仮想ホストでSSLv3を無効にするには、次のオプションが必要です

/etc/apache2/mods-available/ssl.conf:

SSLProtocol all -SSLv2 -SSLv3

2

今朝、同様の問題が発生し、別の仮想ホストがSSLv3を有効にしているので、サーバー全体がSSLv3接続に応答します。

したがって、どのホストでもSSLv3がアクティブになっていないことを確認してください。


1

SSLCipherSuiteに!SSLv3が含まれていないことを確認してください。そのコンテキストでは、TLS1.0およびTLS1.1も指します。

たとえば、構成がSSLProtocol Allの場合、SSLCipherSuiteが!SSLv3で構成されているため、TLS1.2のみが使用可能になります。


0

SSH経由でSSL構成ファイルの編集に問題があるCentOsユーザーの場合、WHM経由でSSLv3を無効にしてみてください

ステップ1:インクルードエディターに移動する

-WHMへのログイン-「Apache Configuration」画面を開き、「Include Editor」をクリックします

ステップ2:インクルードを編集する

-「Pre Main Include」の下で、「All Versions」を選択します。これにより、Apacheのバージョンを変更した場合にサーバーが保護されます。選択したら、テキストボックスに次を入力します。

CentOS / RHEL 6.xの場合:

SSLProtocolの
SSLHonorCipherOrder-すべて+ TLSv1 + TLSv1.1 + TLSv1.2

CentOS / RHEL 5.xの場合:

SSLProtocolの
SSLHonorCipherOrder-すべて+ TLSv1

…そして[ 更新 ]をクリックします

[更新]をクリックすると、Apacheを再起動するよう求められます。この時点でそうします。

元のソース:https : //www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/


1
この回答は、CentOSを実行しているサーバーではなく、WHM / cPanelを介して制御されるサーバーに関連しています。
ボグダンStăncescu14年

0

使用している方法は、ApacheおよびOpensslの新しいバージョン用です。これらの新しいバージョンがシステムにインストールされていない可能性があります。現在インストールされているバージョンを確認してください。

以来SSLv2SSLv3の両方が、いくつかの攻撃の脆弱性があり、それだけでTLSを使用する方が良いでしょう。したがって、次のようにapache confファイルを変更します。

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

または

SSLProtocol TLSv1

はい、私も試してみました-喜びはありません。:-(

「apachectl configtest」コマンドの出力を貼り付けてください。
P4cK3tHuNt3R 14年

0

同様の問題があり、適切なApache設定がすべて正しいことを確認しました。

しかし、私が逃したのは、Apacheの前にリバースプロキシとしてnginxがあったことです。私はたまたまPleskを使用していますが、これは彼らのPOODLE修正ガイドからです:

Nginxを実行している場合は、構成内の次の行を他のSSLディレクティブに含めます/etc/nginx/nginx.conf

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.