모두가 오늘날 POODLE 취약점 에 대해 이야기하고있는 것 같습니다 . 그리고 모두는 다음 구성 지시문을 사용하여 Apache에서 SSLv3을 비활성화하는 것이 좋습니다.
SSLProtocol All -SSLv2 -SSLv3
기본값 대신
SSLProtocol All -SSLv2
나는 여러 가지 도구 ( 여기서는 빠른 도구)로 반복적으로 테스트 한 후 SSLv3가 내 서버에서 행복하게 받아 들여진다는 것을 알게되었습니다.
예, Apache를 다시 시작했습니다. 예, grep모든 구성 파일에서 재귀 를 수행했으며 어느 곳에서도 재정의가 없습니다. 그리고 아니요, 고대 버전의 Apache를 사용하지 않습니다.
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
그래서 무엇을 제공합니까? Apache에서 SSLv3을 어떻게 실제로 비활성화합니까?
답변
나는 같은 문제가 있었다 … SSLProtocol all -SSLv2 -SSLv3httpd.conf의 모든 VirtualHost 스탠자 내에 포함시켜야한다
VirtualHost 스탠자는 일반적으로 httpd.conf 파일의 끝에 있습니다. 예를 들어 :
...
...
<VirtualHost your.website.example.com:443>
DocumentRoot /var/www/directory
ServerName your.website.example.com
...
SSLEngine on
...
SSLProtocol all -SSLv2 -SSLv3
...
</VirtualHost>
또한 ssl.conf 또는 httpd-ssl.conf 또는 이와 유사한 항목이 반드시 httpd.conf에 설정되어 있지 않아도 설정 될 수 있으므로 확인하십시오.
답변
우분투 14.04에서도 같은 문제가있었습니다. 이 내용을 읽은 후의 “SSLProtocol”섹션을 편집했습니다 /etc/apache2/mods-available/ssl.conf.
- 에서:
SSLProtocol all - 에:
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
그러나 작동하지 않았습니다. 그래서에서 다음 섹션도 “SSLCipherSuite”를 편집했습니다
/etc/apache2/mods-available/ssl.conf.
- 에서:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 - 에:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
그리고 지금 그것은 나를 위해 작동합니다.
그런데 Cipher Suites는 POODLE의 영향을받지 않고 프로토콜 만 영향을 받지만 SSLv3 Cipher Suite를 비활성화하면 대부분의 브라우저에 문제가 없습니다.
메일 서버에는 이것을 사용하지 마십시오! 또는 일부 장치에서 메일을 가져올 수없는 문제에 직면 할 수 있습니다.
답변
우분투 10.04
모든 활성 vhost에서 SSLv3을 비활성화하려면 옵션이 필요합니다.
/etc/apache2/mods-available/ssl.conf :
SSLProtocol all -SSLv2 -SSLv3
답변
오늘 아침에도 비슷한 문제가 발생하여 SSLv3을 사용하는 다른 가상 호스트를 발견하여 전체 서버가 SSLv3 연결에 응답합니다.
따라서 SSLv3이 활성화 된 호스트가 없는지 확인하십시오.
답변
SSLCipherSuite에 ! SSLv3이 포함되어 있지 않은지 확인하십시오 . 이와 관련하여 TLS1.0 및 TLS1.1도 참조합니다.
예를 들어, 구성이 SSLProtocol All 인 경우 SSLCipherSuite가! SSLv3으로 구성되는 방식으로 인해 TLS1.2 만 사용할 수 있습니다.
답변
SSH를 통해 SSL 구성 파일을 편집하는 데 문제가있는 CentOs 사용자의 경우 WHM을 통해 SSLv3을 비활성화하십시오 .
1 단계 : 포함 편집기로 이동
-WHM에 로그인- “Apache Configuration”화면을 열고 “Include Editor”를 클릭하십시오.
2 단계 : 포함 편집
– “Pre Main Include”에서 “All Versions”를 선택하십시오. 이런 식으로 Apache 버전을 변경하면 서버가 보호됩니다. 선택하면 텍스트 상자에 다음을 입력하십시오.
CentOS / RHEL 6.x에서 :
SSL 프로토콜에서 SSLHonorCipherOrder-
모든 + TLSv1 + TLSv1.1 + TLSv1.2
CentOS / RHEL 5.x에서 :
SSL 프로토콜에서 SSLHonorCipherOrder-
모든 + TLSv1
… 그리고 업데이트 를 클릭하십시오 .
업데이트를 클릭하면 Apache를 다시 시작하라는 메시지가 표시됩니다. 지금 그렇게하십시오.
원본 출처 : https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/
답변
사용중인 방법은 새 버전의 Apache 및 Openssl 용입니다. 새 버전이 시스템에 설치되지 않았을 수 있습니다. 현재 설치된 버전을 확인하십시오.
때문에 SSLv2하고 SSLv3모두 일부 공격의 취약, 그래서 단지 TLS를 사용하는 것이 좋을 것이다. 따라서 아파치 conf 파일을 다음과 같이 수정하십시오.
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
또는
SSLProtocol TLSv1