如何在Apache httpd 2.2.15上禁用SSLCompression？（防御犯罪/野兽）

我了解了针对TLS压缩的CRIME攻击（CVE-2012-4929，CRIME是针对ssl＆tls的BEAST攻击的继承者），并且我想通过禁用SSL压缩来保护我的Web服务器免受此攻击，该SSL压缩已添加到Apache 2.2.22（请参见Bug 53219）。

我正在运行httpd-2.2.15附带的Scientific Linux 6.3。httpd 2.2上游版本的安全修补程序应反向移植到该版本。

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

我在配置中尝试关闭SSLCompression，但是导致出现以下错误消息：

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

可以使用此版本的Apache Webserver禁用SSLCompression吗？

2013年3月4日，Red Hat提供了更新的OpenSSL软件包来解决此问题。您可以通过常规更新渠道接收它们。

最初的答案是：

Red Hat没有提供提供此功能的更新程序包，尽管有解决方法。编辑/etc/sysconfig/httpd文件并将此行添加到其中：

export OPENSSL_NO_DEFAULT_ZLIB=1

然后重新启动Apache：

service httpd restart

这将导致为SSL提供加密功能的OpenSSL不提供压缩。