ApacheでSSLv3を無効にする方法は？

今日、誰もがPOODLEの脆弱性について話しているようです。また、次の構成ディレクティブを使用して、ApacheでSSLv3を無効にすることをお勧めします。

SSLProtocol All -SSLv2 -SSLv3

デフォルトの代わりに

SSLProtocol All -SSLv2

さまざまなツール（ここでは高速なツール）を繰り返しテストした後、SSLv3が私のサーバーで喜んで受け入れられていることがわかりました。

はい、Apacheを再起動しました。はい、grepすべての構成ファイルを再帰的に処理しましたが、どこにもオーバーライドはありません。そしていや、Apacheの古いバージョンを使用していません。

[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built:   Jul 23 2014 14:17:29

それで、何が得られますか？ApacheでSSLv3を実際に無効にするにはどうすればよいですか？

私は同じ問題を抱えていました... SSLProtocol all -SSLv2 -SSLv3httpd.confのすべてのVirtualHostスタンザに含める必要があります

VirtualHostスタンザは通常、httpd.confファイルの終わりに向かっています。たとえば、次のとおりです。

...
...
<VirtualHost your.website.example.com:443>
    DocumentRoot /var/www/directory
    ServerName your.website.example.com

    ...
    SSLEngine on
    ...
    SSLProtocol all -SSLv2 -SSLv3
    ...
</VirtualHost>

また、ssl.confまたはhttpd-ssl.confなどをチェックします。これらは必ずしもhttpd.confに設定されているとは限らないため、そこに設定される可能性があるためです。

Ubuntu 14.04でも同じ問題が発生しました。これを読んだ後、のセクション「SSLProtocol」を編集しました/etc/apache2/mods-available/ssl.conf。

• から： SSLProtocol all
• に： SSLProtocol all -SSLv2 -SSLv3 -TLSV1

しかし、うまくいきませんでした。そこで、次のセクションも「SSLCipherSuite」で編集しました /etc/apache2/mods-available/ssl.conf。

• から： SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
• に： SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

そして今、それは今私のために動作します。

ちなみに、暗号スイートはPOODLEの影響を受けず、プロトコルのみの影響を受けますが、ほとんどのブラウザーはSSLv3暗号スイートを無効にしても問題ありません。

これをメールサーバーに使用しないでください！または、（おそらく）一部のデバイスでメールを取得できないという問題に直面します。

Ubuntu 10.04の場合

すべてのアクティブな仮想ホストでSSLv3を無効にするには、次のオプションが必要です

/etc/apache2/mods-available/ssl.conf：

SSLProtocol all -SSLv2 -SSLv3

今朝、同様の問題が発生し、別の仮想ホストがSSLv3を有効にしているので、サーバー全体がSSLv3接続に応答します。

したがって、どのホストでもSSLv3がアクティブになっていないことを確認してください。

SSLCipherSuiteに！SSLv3が含まれていないことを確認してください。そのコンテキストでは、TLS1.0およびTLS1.1も指します。

たとえば、構成がSSLProtocol Allの場合、SSLCipherSuiteが！SSLv3で構成されているため、TLS1.2のみが使用可能になります。

SSH経由でSSL構成ファイルの編集に問題があるCentOsユーザーの場合、WHM経由でSSLv3を無効にしてみてください。

ステップ1：インクルードエディターに移動する

-WHMへのログイン-「Apache Configuration」画面を開き、「Include Editor」をクリックします

ステップ2：インクルードを編集する

-「Pre Main Include」の下で、「All Versions」を選択します。これにより、Apacheのバージョンを変更した場合にサーバーが保護されます。選択したら、テキストボックスに次を入力します。

CentOS / RHEL 6.xの場合：

SSLProtocolの
SSLHonorCipherOrder-すべて+ TLSv1 + TLSv1.1 + TLSv1.2

CentOS / RHEL 5.xの場合：

SSLProtocolの
SSLHonorCipherOrder-すべて+ TLSv1

…そして[ 更新 ]をクリックします。

[更新]をクリックすると、Apacheを再起動するよう求められます。この時点でそうします。

元のソース：https : //www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/

使用している方法は、ApacheおよびOpensslの新しいバージョン用です。これらの新しいバージョンがシステムにインストールされていない可能性があります。現在インストールされているバージョンを確認してください。

以来SSLv2とSSLv3の両方が、いくつかの攻撃の脆弱性があり、それだけでTLSを使用する方が良いでしょう。したがって、次のようにapache confファイルを変更します。

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

または

SSLProtocol TLSv1

同様の問題があり、適切なApache設定がすべて正しいことを確認しました。

しかし、私が逃したのは、Apacheの前にリバースプロキシとしてnginxがあったことです。私はたまたまPleskを使用していますが、これは彼らのPOODLE修正ガイドからです：

Nginxを実行している場合は、構成内の次の行を他のSSLディレクティブに含めます/etc/nginx/nginx.conf。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;