如何为Apache httpd禁用SSLv2

8

我刚刚在https://www.ssllabs.com/上测试了我的网站,它说SSLv2是不安全的,我应该与弱密码套件一起禁用它。

如何禁用它?我尝试了以下操作,但不起作用。

  1. /etc/httpd/conf.d/ssl.conf通过ftp 进入。添加

    SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

  2. 通过腻子连接到服务器并发出service httpd restart命令。

但是它在网站上仍然显示不安全。我该如何解决?我的服务器是Plesk 10.3.1 CentOS。同一台服务器上有3-4个站点。

apache-2.2  centos  ssl  mod-ssl  pci-dss 
雅虎
source
几年前,我在更新ssl证书时遇到问题。即使重新启动了apache,新配置也将被忽略。停止apache然后启动apache解决了该问题。
@EricDANNIELOU-我重新启动了整个服务器,仍然不走运
Yahoo

Answers:

10

将SSLProtocol和SSLCipherSuite行更改为

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

重新加载您的Apache以使配置生效。

SSLHonorCipherOrder在将尝试在订单中指定它的密码。

以上配置通过了ssllabs.com的检查,但TLS版本除外。由于OpenSSL 1.0.0,我的CentOS 6仅支持TLS 1.0。OpenSSL 1.0.1支持TLS 1.1和1.2。

您的Apache前面有任何负载平衡器或代理吗?

千田
source
我添加了您上面提到的内容,但是仍然行不通。当我检查www.ssllabs.com 它仍然显示其启用。我不知道apache前面的负载均衡器或代理,如何检查?我会让您知道细节,无论您需要知道什么。
Yahoo
但是,当我运行此命令时,出现错误。因此,它似乎已被禁用,但该网站未显示它。 openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
Yahoo
它可能来自您的负载均衡器,也可能来自其他后端应用程序的代理。如果您的设置/体系结构没有太多详细信息,则很难调试。我提到的配置,适用于我的Apache直接提供SSL和ssllabs.com给了我一个等级的88
驰达
所以我应该禁用负载均衡器,如果系统上有负载均衡器?我如何确定其是否未安装?
Yahoo
如果apache在端口*:80上侦听,并且您的服务器具有与您的网站相对应的公共ip,则没有负载均衡器。还要检查DNS记录中的轮询。
3

您可能要确保Apache配置中的任何地方都没有另一个SSLProtocolSSLCiperSuite目录可以覆盖您刚刚添加的目录。

如果找不到它,请尝试将这两个添加到SSL虚拟主机中,而不要添加到ssl.conf。这将有助于确保正确的方法是最后应用的方法。

拉达达达
source
文件中没有任何重复的条目。如何检入SSL Vhost?该文件放在哪里?(此处
Yahoo
1
使用PuTTY,grep -r SSLProtocol /etc/httpd应该找到任何重复项。至于SSL虚拟主机,我不知道Plesk将它们放在哪里,但可能与所有其他虚拟主机一起使用。递归grep命令VirtualHostSSLCertificateFile或位于DocumentRoot可能会做的伎俩。
Ladadadada 2012年
/var/www/vhosts/mydomain/conf/vhost_ssl.conf/var/www/vhosts/mydomain/conf/vhost.conf 在我添加的两个文件中SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM仍然无法正常工作:/
Yahoo
0

一个为我工作 

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

试试这个。

Hamzah AbuAloush
source
您在使用Plesk吗?请详细说明您的情况如何与原始问题中描述的相符。
鹿猎人
-2

在Centos6.x中禁用SSL只需运行以下命令:

百胜删除mod_ssl

然后

服务httpd重新加载

要再次启用SSL,请安装“ mod_ssl”软件包,如下所示:

百胜安装mod_ssl

然后

服务httpd重新加载

用户名
source
我认为用户只想删除SSL v2。
Paul
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.