Comment désactiver SSLv2 pour Apache httpd


8

Je viens de tester mon site sur https://www.ssllabs.com/ et il a dit que SSLv2 n'est pas sécurisé et que je devrais le désactiver avec les suites de chiffrement faibles.

Comment puis-je désactiver cela? J'ai essayé ce qui suit mais cela ne fonctionne pas.

  1. Je suis allé /etc/httpd/conf.d/ssl.confpar ftp. Ajoutée

    SSLProtocol -ALL +SSLv3 +TLSv1
    SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    
  2. Connecté au serveur par putty et a donné la service httpd restartcommande.

Mais son affichage n'est toujours pas sûr sur le site. Comment puis-je le réparer? Mon serveur est Plesk 10.3.1 CentOS. Il y a 3-4 sites sur le même serveur.


Il y a quelques années, j'ai eu un problème lors du renouvellement d'un certificat SSL. La nouvelle configuration a été ignorée, même après un redémarrage d'apache. Arrêter Apache puis démarrer Apache a résolu le problème.

@EricDANNIELOU - J'ai redémarré tout le serveur, toujours pas de chance
Yahoo

Réponses:


10

Modifiez les lignes SSLProtocol et SSLCipherSuite en,

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Rechargez votre apache pour que la configuration prenne effet.

Le SSLHonorCipherOrder On essayera les chiffrements dans l'ordre qu'il est spécifié.

La configuration ci-dessus passe le contrôle sur ssllabs.com sauf pour la version TLS. Mon CentOS 6 ne prend en charge que TLS 1.0 en raison d'OpenSSL 1.0.0. OpenSSL 1.0.1 prend en charge TLS 1.1 et 1.2.

Avez-vous un équilibreur de charge ou un proxy devant votre apache?


J'ai ajouté les lignes que vous avez mentionnées ci-dessus, mais cela ne fonctionne toujours pas. Lorsque je vérifie, www.ssllabs.com cela montre toujours que son activé. Je ne connais pas `l'équilibreur de charge ou le proxy devant apache`, comment puis-je vérifier cela? Je vous ferai savoir les détails de tout ce que vous devez savoir.
Yahoo

Cependant, lorsque j'exécute cela, j'obtiens une erreur. Il semble donc désactivé, mais le site ne le montre pas. openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
Yahoo

Cela peut provenir de votre équilibreur de charge ou de votre proxy à partir d'une autre application backend. Sans beaucoup de détails sur votre configuration / architecture, il est difficile de déboguer. La configuration que j'ai mentionnée fonctionne pour mon apache qui sert SSL directement et ssllabs.com me donne une note de 88.
Chida

Je devrais donc désactiver l'équilibreur de charge, s'il est là sur le système? Comment puis-je savoir si son installé sur pas?
Yahoo

Si apache écoute sur le port *: 80 et que votre serveur a l'IP publique correspondant à votre site Web, il n'y a pas d'équilibreur de charge. Vérifiez également les enregistrements DNS pour le tournoi à la ronde.

3

Vous voudrez peut-être vous assurer qu'il n'y en a pas d'autre SSLProtocolou SSLCiperSuitedirecive n'importe où dans votre configuration Apache qui remplace celui que vous venez d'ajouter.

Si vous ne le trouvez pas, essayez d'ajouter ces deux à votre vhost SSL plutôt que ssl.conf. Cela aidera à garantir que les bons sont les derniers appliqués.


Il n'y a aucune entrée en double dans le fichier. Comment puis-je vérifier SSL Vhost? Où est placé ce fichier? (Je suis nouveau ici)
Yahoo

1
L'utilisation de PuTTY, grep -r SSLProtocol /etc/httpddevrait trouver des doublons. Quant au vhost SSL, je ne sais pas où Plesk les met mais ce sera probablement avec tous les autres vhosts. Un grep récursif pour VirtualHost, SSLCertificateFileou le documentroot fera probablement l'affaire.
Ladadadada

/var/www/vhosts/mydomain/conf/vhost_ssl.conf & /var/www/vhosts/mydomain/conf/vhost.conf Dans les deux fichiers que j'ai ajoutés SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMne fonctionne toujours pas: /
Yahoo

0

Celui qui a fonctionné pour moi

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

Essaye celui-là.


Utilisez-vous Plesk? Veuillez expliquer comment votre situation correspond à celle décrite dans la question d'origine.
Deer Hunter

-2

Pour désactiver SSL dans Centos6.x Exécutez simplement la commande suivante:

miam supprimer mod_ssl

alors

service httpd reload

Pour réactiver SSL, installez à nouveau le package "mod_ssl" comme:

yum install mod_ssl

alors

service httpd reload


Je pense que l'utilisateur voulait seulement supprimer SSL v2.
Paul
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.