今天,每个人似乎都在谈论POODLE漏洞。每个人都建议使用以下配置指令在Apache中禁用SSLv3:
SSLProtocol All -SSLv2 -SSLv3
而不是默认值
SSLProtocol All -SSLv2
我这样做并没有喜悦–在使用各种工具(这里是一个快速的工具)反复测试之后,我发现我的服务器很高兴接受SSLv3。
是的,我确实重新启动了Apache。是的,我grep
对所有配置文件都进行了递归操作,而且我在任何地方都没有任何覆盖。不,我没有使用某些古老的Apache版本:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
那么,有什么用呢?如何真正禁用Apache中的SSLv3?