Apache httpd에서 SSLv2를 비활성화하는 방법


8

방금 https://www.ssllabs.com/에서 내 사이트를 테스트 했으며 SSLv2가 안전하지 않다고 말했으며 약한 Cipher Suites와 함께 비활성화해야합니다.

어떻게 비활성화 할 수 있습니까? 다음을 시도했지만 작동하지 않습니다.

  1. /etc/httpd/conf.d/ssl.confftp로 갔다 . 추가

    SSLProtocol -ALL +SSLv3 +TLSv1
    SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    
  2. 퍼티로 서버에 연결하고 service httpd restart명령을 내 렸습니다 .

그러나 여전히 사이트에서 안전하지 않은 것으로 보입니다. 어떻게 고칠 수 있습니까? 내 서버는 Plesk 10.3.1 CentOS입니다. 동일한 서버에 3-4 개의 사이트가 있습니다.


몇 년 전 SSL 인증서를 갱신하는 동안 문제가 발생했습니다. 아파치를 다시 시작한 후에도 새 구성은 무시되었습니다. 아파치를 멈추고 아파치를 시작하면 문제가 해결되었습니다.

@EricDANNIELOU-전체 서버를 재부팅했지만 여전히 운이 없습니다
Yahoo

답변:


10

SSLProtocol 및 SSLCipherSuite 행을

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

구성을 적용하려면 아파치를 다시로드하십시오.

SSLHonorCipherOrder에는 이 지정된 순서대로 암호를 시도 할 것이다.

위 구성은 TLS 버전을 제외하고 ssllabs.com에서 확인을 통과합니다. My CentOS 6은 OpenSSL 1.0.0으로 인해 TLS 1.0 만 지원합니다. OpenSSL 1.0.1은 TLS 1.1 및 1.2를 지원합니다.

아파치 앞에로드 밸런서 또는 프록시가 있습니까?


위에서 언급 한 줄을 추가했지만 여전히 작동하지 않습니다. 내가 확인 www.ssllabs.com 하면 여전히 활성화되어 있음을 보여줍니다. `아파치 앞에서로드 밸런서 또는 프록시`에 대해 잘 모르겠습니다. 어떻게 확인할 수 있습니까? 당신이 알아야 할 세부 사항을 알려 드리겠습니다.
야후

그러나 이것을 실행하면 오류가 발생합니다. 따라서 비활성화 된 것처럼 보이지만 사이트에 표시되지 않습니다. openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
야후

로드 밸런서 또는 다른 백엔드 응용 프로그램의 프록시에서 올 수 있습니다. 설정 / 아키텍처에 대한 자세한 내용이 없으면 디버깅하기가 어렵습니다. 내가 언급 한 구성은 SSL을 직접 제공하는 아파치에서 작동하며 ssllabs.com은 88의 등급을 부여합니다.
Chida

시스템에로드 밸런서가있는 경우 비활성화해야합니까? 설치되어 있지 않은지 어떻게 알 수 있습니까?
야후

Apache가 * : 80 포트에서 수신 대기하고 서버에 웹 사이트에 해당하는 공용 IP가있는 경우로드 밸런서가 없습니다. 라운드 로빈에 대한 dns 레코드도 확인하십시오.

3

당신은 다른이없는 것을 확인 할 수 있습니다 SSLProtocol또는 SSLCiperSuite방금 추가를 무시있어 아파치 설정에서 direcive 어디.

찾을 수 없으면이 두 개를 SSL 가상 호스트에 추가하지 마십시오 ssl.conf. 이를 통해 올바른 것이 마지막으로 적용되도록 할 수 있습니다.


파일에 중복 항목이 없습니다. SSL Vhost를 어떻게 확인할 수 있습니까? 이 파일은 어디에 있습니까? (여기에 새로운 기능이 있습니다)
Yahoo

1
PuTTY를 사용하면 grep -r SSLProtocol /etc/httpd중복 항목을 찾아야합니다. SSL vhost에 관해서는 Plesk가 어디에 배치했는지는 모르지만 다른 모든 호스트와 함께있을 것입니다. 대한 재귀 그렙 VirtualHost, SSLCertificateFile또는 DocumentRoot에 아마도 트릭을 할 것입니다.
Ladadadada

/var/www/vhosts/mydomain/conf/vhost_ssl.conf & /var/www/vhosts/mydomain/conf/vhost.conf 내가 추가 한 두 파일 모두 SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM여전히 작동하지 않습니다 : /
Yahoo

0

하나는 나를 위해 일했다

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

이거 한번 해봐.


Plesk를 사용하고 있습니까? 원래 질문에 설명 된 상황이 어떻게 일치하는지 자세히 설명하십시오.
사슴 사냥꾼

-2

Centos6.x에서 SSL을 비활성화하려면 다음 명령을 실행하십시오.

m 제거 mod_ssl

그때

서비스 httpd 다시로드

SSL을 다시 활성화하려면 다음과 같이 "mod_ssl"패키지를 설치하십시오.

m 설치 mod_ssl

그때

서비스 httpd 다시로드


사용자가 SSL v2 만 제거하려고한다고 생각합니다.
Paul
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.