みんな話しているようです。プードルワーム今日。 ApacheでSSLv3を無効にするには、次の設定ディレクティブを使用することをお勧めします。
SSLProtocol All -SSLv2 -SSLv3
デフォルト値の代わりに
SSLProtocol All -SSLv2
これを行いましたが、さまざまなツールを使用して繰り返しテストしても満足できません(これは速いです)、SSLv3が私のサーバーで正常に承認されたことを確認しました。
はい、Apacheを再起動しました。はい、すべての設定ファイルを繰り返し見ましたが、grepどこにもオーバーライドはありませんでした。いいえ、私はいくつかの古代バージョンのApacheを使用していません。
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
では、何を提供しますか?人はどうですか?本物ApacheでSSLv3を無効にしますか?
答え1
SSLProtocol all -SSLv2 -SSLv3私も同じ問題がありました... httpd.confのすべてのVirtualHostスタンザを含める必要があります。
VirtualHost セクションは通常 httpd.conf ファイルの末尾にあります。たとえば、
...
...
<VirtualHost your.website.example.com:443>
DocumentRoot /var/www/directory
ServerName your.website.example.com
...
SSLEngine on
...
SSLProtocol all -SSLv2 -SSLv3
...
</VirtualHost>
また、ssl.conf、httpd-ssl.conf、または同様のエントリがそこに設定されている可能性がありますが、必ずしもhttpd.confにある必要はありません。
答え2
Ubuntu 14.04でも同じ問題が発生しました。この記事を読んで修正しました/etc/apache2/mods-available/ssl.conf。
- から:
SSLProtocol all - 到着する:
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
しかし、それはうまくいきませんでした。そのため、次の「SSLCipherSuite」セクションも編集しました
/etc/apache2/mods-available/ssl.conf。
- から:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 - 到着する:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
今それは私にとって効果的です。
ただし、暗号スイートはPOODLEの影響を受けず、プロトコルのみに影響を受けます。ただし、ほとんどのブラウザは無効なSSLv3暗号スイートで動作します。
メールサーバーではこれを使用しないでください!または、一部のデバイスでメールが届かない問題に直面する可能性があります。
答え3
Ubuntu 10.04の場合
すべてのアクティブ仮想ホストでSSLv3を無効にするには、次のオプションが必要です。
/etc/apache2/mods-available/ssl.conf:
SSLProtocol all -SSLv2 -SSLv3
答え4
SSLCipherSuiteをチェックしてください。確かに!SSLv3 が含まれています。この文脈ではTLS1.0とTLS1.1を意味します。
たとえば、設定が次のような場合SSLプロトコルすべて、SSLCipherSuiteが!SSLv3で構成されているため、TLS1.2のみを使用できます。