どこでも検索しましたが、再コンパイルせずにApacheをアップグレードする簡単な方法が見つかりませんでした。 httpd24をインストールしましたこれ手順はありますが、httpdをhttpd24に置き換える方法はわかりません。
リポジトリを更新し、yumを使用してApacheアップグレードを処理する方法はありますか?
本番サーバーとして、セキュリティパッチが自動的に適用されるように作業を単純にしたいと思います。
OpenSSLをバージョン1.1.0にアップグレードできました。
アップグレードを行った理由:サーバーが最新のセキュリティ状態に保たれたかった。また、www.ssllabs.com/ssltest/でA+スコアを獲得しようとしています。私は現在Aにいます。次の2つのメッセージが表示されます。このウェブサイトはSNIをサポートするブラウザでのみ実行されます。そしてクライアントは1024ビットを超えるDHパラメータをサポートしません。DHParameters(4096)はサーバー上に作成されますが...
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
...Apache 2.4.6では動作しません。 Let's Encryptによって自動的に更新されるため、サイトSSL証明書に追加したくありません。
答え1
Red Hat / CentOSは通常、その変更を以前のバージョンにバックポートしてソフトウェアを更新します(たとえば、実際のバージョン番号を変更せずに現在のバージョンを更新します)。 httpd-2.4.6はCentOS 7用httpdの最新の「バージョン」です。
お知らせのリストを見ると、CentOS 7のhttpdの最新のアップデートは次のとおりです。CESA-2016:1422。
具体的には、対応するRed Hat正誤表へのリンクをたどってCVEセクションに進み、次のようにします。1353755。 Bugzilla レポートを読むと、これらの最新の修正が Red Hat/CentOS の httpd-2.4.6.40 に適用されたことがわかります。また、ASF は 2.4.24 でこれらの問題を解決する計画だと述べている。
最新のApache httpdは2.4.23。このため、CentOS 7でhttpd-2.4.6-40を実行している場合は、CentOS 7で利用可能な最新および最高のhttpdバージョンがあります。
答え2
RE:www.ssllabs.com/ssltest/からA +を受け取りました。このオプションがありません。
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
したがって、A+スコアを取得するには、これらのパラメータをすべて/etc/httpd/conf/httpd.confに追加します。
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"