Intereting Posts

Все еще уязвим после отключения SSLv3

Я пытаюсь отключить SSLv3, чтобы избежать проблемы с пуделями. В качестве руководства я использую следующие инструкции: https://access.redhat.com/solutions/1232413

Я применил следующую строку к моему файлу конфигурации:

SSLProtocol All -SSLv2 -SSLv3 

и перезапустил apache, но похоже, что я все еще уязвим. Я использую этот инструмент для проверки: https://access.redhat.com/labs/poodle/

Я также сделал grep, чтобы убедиться, что SSL не активен нигде, а это не так.

Я столкнулся с этим сообщением: как отключить SSLv3 в Apache? , в принятом ответе говорится, что вы должны вставить вышеприведенную строку в каждую строфу vhost, это правда? У меня есть другие vhosts на этом сервере, но они должны быть безопасными.

** EDIT: добавление санатизированного файла конфигурации для сайта с ссылками SSL. **

 <VirtualHost *:80> ServerAdmin webmaster@xxxxxx.xxx DocumentRoot "/html/xxxxxx.xxxxxx.xxx" ServerAlias xxxxxx.xxxxxx.xxx ServerAlias xxxxxx.xxxxxx.xxx ServerName xxxxxx.xxxxxx.xxx ErrorLog logs/xxxxxx.xxxxxx.xxx-error_log CustomLog logs/xxxxxx.xxxxxx.xxx-access_log common </VirtualHost> <VirtualHost *:443> ServerAdmin webmaster@xxxxxx.xxx DocumentRoot "/html/xxxxxxxxxxx/xxxxxx” ServerAlias xxxxxx.xxxxxx.xxx ServerAlias xxxxxx.xxxxxx.xxx ServerName xxxxxx.xxxxxx.xxx ErrorLog logs/xxxxxx.xxxxxx.xxx-error_log CustomLog logs/xxxxxx.xxxxxx.xxx-access_log common SSLEngine on SSLCertificateFile /path/to/cert/xxxxxx.xxxxxx.xxx.crt SSLCertificateKeyFile /path/to/key/xxxxxx.xxxxxx.xxx.key SSLCertificateChainFile /path/to/chain/xxxxxx.xxxxxx.xxx.ca SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ALL:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn <Directory "/html/xxxxxx.xxxxxx.xxx"> DirectoryIndex index.php index.htm index.html Options -Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews AllowOverride All Order allow,deny Allow from all </Directory> </VirtualHost> 

Мои другие файлы vhost – это только стандартные конфигурации для порта 80, в них нет ничего особенного.

sudo service httpd configtest возвращает синтаксис OK.

Я решил проблему, мне пришлось поставить следующую строку:

 SSLProtocol all -SSLv2 -SSLv3 

в файле /etc/httpd/conf.d/ssl.conf

По какой-то причине настройки в конфигурации vhost, где не приоритет.

Один из способов, которым я использовал поиск всех HTTPS-хостов, – это рекурсивный grep все файлы конфигурации в каталоге httpd / apache2.

 /etc/apache2# grep -nR 'SSLEngine on' .