SSLProtocol로 비활성화했지만 SSLv3이 활성화 된 것으로 테스트

0

우리가 한 침투 테스트에 대한 치료를 위해 노력하고 있습니다.

침투 테스트는 SSv3가 활성화되어 POODLE 취약점을보고합니다.

그러나 내 httpd.conf의 VirtualHost 정의에는 다음이 있습니다.

<VirtualHost *:443>
     ServerAdmin mbobak@nitssolutions.com
     ServerName myhost.com
     SSLEngine On
     SSLProtocol all -SSLv2 -SSLv3
     SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
     SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
     SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
     RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
     RewriteEngine On
     RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
     RewriteRule .* - [F]
</VirtualHost>

분명히 위의 SSLProtocol 줄에 -SSLv3이 있으며, 내가 읽은 모든 내용에서 SSLv3을 비활성화하면 POODLE 공격을받지 않을 것이라고 말합니다.

하지만 Qualys 온라인 SSL 테스터와 'ssl-poodle'nmap 스크립트를 사용해 보았습니다.

도움?

아무도 내가 여기서 놓친 것을 설명 할 수 있습니까?

감사!

업데이트 : 이것은 Apache / 2.4.6이 설치된 Oracle Linux 7.3에 있습니다.

apache-http-server  ssl 
마크 제이 보박
소스
Ramhound
1
그 가치도 TLSv1안전하지 않다고 지적 합니다. TLSv1.2+어쨌든 2018 년 에만 활성화 해야합니다. 어쨌든 사용중인 OpenSSL 버전을 포함하도록 질문을 업데이트하십시오.이 경우 중요한 정보로 간주됩니다.
Ramhound
TLSv1.1
1
문제는 아마도 부족 SSLCipherSuite하고 Qualys에 유효한 vTLSv1.1 전용 테스트가 없다는 것입니다. 이는 OpenSSL 버전에 기본적으로 TLSv1.2가 포함되어 있지 않다는 것을 의미합니다. 귀하의 특정 질문에 대한 답변을 제출할 것이지만 기존 답변 은 이미 작동하지 않는 이유를 설명합니다.
Ramhound
물론 더 안전한 구성을 사용하고 속일 있습니다.
Ramhound

답변:

0

좋아, 나는 이것을 알아 냈다. 내 파일의 SSLProtocol모든 VirtualHost정의에 올바른 문장 이 있었지만 /etc/httpd/conf/httpd.conf의 기본 VirtualHost정의에는 분명히 필요합니다 /etc/httpd/conf.d/ssl.conf.

ssl.conf에 추가하면 작동하기 시작했습니다.

마크 제이 보박
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.