अपाचे में SSLv3 को कैसे निष्क्रिय करें?

76

आज हर कोई POODLE भेद्यता के बारे में बात कर रहा है। और हर कोई निम्नलिखित विन्यास निर्देश का उपयोग करते हुए अपाचे में SSLv3 को अक्षम करने की सिफारिश करता है:

SSLProtocol All -SSLv2 -SSLv3

डिफ़ॉल्ट के बजाय

SSLProtocol All -SSLv2

मैंने ऐसा किया है, और कोई खुशी नहीं है - विभिन्न उपकरणों ( यहां एक तेज़ एक ) के साथ बार-बार परीक्षण करने के बाद , मुझे लगता है कि SSLv3 को मेरे सर्वर द्वारा खुशी से स्वीकार किया गया है।

हां, मैंने अपाचे को फिर से शुरू किया। हां, मैंने grepसभी कॉन्फ़िगरेशन फ़ाइलों पर एक पुनरावर्ती किया, और मेरे पास कहीं भी कोई ओवरराइड नहीं है। और नहीं, मैं अपाचे के कुछ प्राचीन संस्करण का उपयोग नहीं कर रहा हूं:

[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built:   Jul 23 2014 14:17:29

तो, क्या देता है? Apache में SSLv3 को वास्तव में कैसे निष्क्रिय करता है ?

ssl  apache-httpd 
बोगदान स्टैन्नेसकु
स्रोत
यहाँ उत्तर दिया: askubuntu.com/q/537196/7163
रोरी अलसॉप
5
जैसा कि प्रश्न में बताया गया है, मैंने उस खंड में संकेतित सभी चरणों का प्रदर्शन किया है और एसएसएल 3 अभी भी उपलब्ध है। मैं आपको यह नहीं बता सका कि उस खंड का कौन सा विशिष्ट भाग SSL3 को अक्षम करने में विफल है, लेकिन मुद्दा यह है कि यह पूरी तरह से नहीं है। यह कहने के बाद कि, मुझे समझ में आया है कि आपके पास इस समय आपके मॉडरेटर की टोपी है, इसलिए कृपया इस प्रश्न को रद्द करें - यह अच्छी तरह से साबित हो सकता है कि मैं एक मूर्ख हूं और मैंने एक प्राथमिक गलती की है, लेकिन एक मॉडरेटर के पीओवी से यह एक वैध प्रश्न है।

जवाबों:

80

मैं एक ही समस्या थी ... आप SSLProtocol all -SSLv2 -SSLv3httpd.conf में हर VirtualHost श्लोक के भीतर शामिल है

VirtualHost श्लोक आमतौर पर httpd.conf फ़ाइल के अंत की ओर हैं। उदाहरण के लिए:

...
...
<VirtualHost your.website.example.com:443>
    DocumentRoot /var/www/directory
    ServerName your.website.example.com

    ...
    SSLEngine on
    ...
    SSLProtocol all -SSLv2 -SSLv3
    ...
</VirtualHost>

इसके अलावा ssl.conf या httpd-ssl.conf या समान की जांच करें क्योंकि वे वहां सेट हो सकते हैं, जरूरी नहीं कि httpd.conf

darcoli
स्रोत
3
रिकॉर्ड के लिए, आपके sysadmin / वेबमास्टर पर निर्भर करता है, VirtualHosts बस अपने स्वयं के समर्पित फ़ाइल के भीतर conf.d में रहते हैं (यही कारण है कि मुझे घर रखना पसंद है, और यह कुछ ऐसा है जिसे मैंने सीखा है, कुछ ऐसा नहीं है जिसका मैंने आविष्कार किया था, इसलिए मुझे उम्मीद है कि मैं) 'केवल म) नह) ं।
बोगडान स्टेंसनस्कु
3
ध्यान दें कि SSLProtocolVirtualHost stanzas के बाहर कम से कम Apache 2.4+ कॉन्फ़िगर किया गया है जो सभी वर्चुअल होस्ट पर लागू होगा।
नर्सिकेब
2
मुझे यह टूल मिला, जो अन्य चीजों के साथ परीक्षण करेगा, कि क्या आपके सर्वर में SSLv3 अक्षम है: ssllabs.com/ssltest/index.html
amphetamachine
1
TLSv1 को अक्षम करने पर यह उत्तर मेरे लिए बहुत उपयोगी था। यह जांचने के लिए कि क्या दिया गया प्रोटोकॉल पूरी तरह से अक्षम है, मुझे निम्नलिखित उपयोगी मिला nmap -sV --script ssl-enum-ciphers -p 443 <hostname>:।
लुका सिटी
क्या SSLProtocolप्रत्येक VirtualHost को संपादित किए बिना, सिस्टम-वाइड सेट करने का कोई तरीका है ?
डुनोटोटॉस
10

मैं Ubuntu 14.04 पर एक ही समस्या थी। इसे पढ़ने के बाद, मैंने "SSLProtocol" अनुभाग को संपादित किया /etc/apache2/mods-available/ssl.conf

  • से: SSLProtocol all
  • सेवा: SSLProtocol all -SSLv2 -SSLv3 -TLSV1

लेकिन यह काम नहीं किया। इसलिए मैंने निम्नलिखित अनुभाग को "SSLCipherSuite" में भी संपादित किया /etc/apache2/mods-available/ssl.conf

  • से: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
  • सेवा: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

और अब यह अब मेरे लिए काम करता है।

वैसे, सिपहेर सूट केवल प्रोटोकॉल से प्रभावित नहीं होते हैं - लेकिन अधिकांश ब्राउज़र एक विकलांग SSLv3 सिफर सूट के साथ ठीक हैं।

एक Mailserver के लिए इसका इस्तेमाल न करें! या आप कुछ उपकरणों पर अपने मेल को लाने में सक्षम नहीं होने की समस्या का सामना करेंगे (हो सकता है)।

BlueM00n
स्रोत
धन्यवाद। यह उत्तर WHM / cPanel सेटअप में काम करता है। मैंने ऑनलाइन सुझाए गए अन्य तरीकों की कोशिश की और आपका एकमात्र काम था।
वोइटेक ज़िलिंस्की
1
यह काम करता है, लेकिन यह IE 10 के साथ पहुंच को अक्षम कर देगा, क्योंकि यह SSLv3 और TLS1.0 का उपयोग डिफ़ॉल्ट रूप से करता है।
एरेबस
4

उबंटू 10.04 के लिए

सभी सक्रिय vhosts पर SSLv3 को अक्षम करने के लिए आपको विकल्प की आवश्यकता होती है

/etc/apache2/mods-available/ssl.conf:

SSLProtocol all -SSLv2 -SSLv3
Hubsidubsidu
स्रोत
2

मुझे आज सुबह भी ऐसी ही समस्या थी, और मैंने एक और वर्चुअलहोस्ट को SSLv3 को सक्षम करते हुए पाया, इसलिए पूरा सर्वर SSLv3 कनेक्शन पर प्रतिक्रिया देता है।

इसलिए, सुनिश्चित करें कि आपके किसी भी होस्ट में SSLv3 सक्रिय नहीं है।

terdon
स्रोत
1

सुनिश्चित करें कि SSLCipherSuite में एसएसवी 3 नहीं है। उस संदर्भ में, यह TLS1.0 और TLS1.1 को भी संदर्भित करता है।

उदाहरण के लिए, यदि आपका कॉन्फिगरेशन SSLProtocol All है , तो केवल SSSipherSuite एसएसएलवी 3 के साथ कैसे कॉन्फ़िगर किया गया है, इसकी वजह से TLS1.2 उपलब्ध होगा।

शीघ्र
स्रोत
0

सेंटो उपयोगकर्ताओं को एसएसएच के माध्यम से आपकी एसएसएल कॉन्फ़िगरेशन फ़ाइल को संपादित करने में समस्या हो रही है, डब्ल्यूएचएम के माध्यम से एसएसएल 3 को अक्षम करने का प्रयास करें :

चरण 1: संपादक को शामिल करने पर नेविगेट करें

WHM -Login को "Apache कॉन्फ़िगरेशन" स्क्रीन पर खोलें, और "संपादक शामिल करें" पर क्लिक करें

चरण 2: शामिल करें संपादित करें

-उंडर "पूर्व मुख्य शामिल", "सभी संस्करण" का चयन करें। यदि आप अपाचे का संस्करण बदलते हैं तो इस तरह से आपका सर्वर सुरक्षित रहेगा। चयनित होने पर, पाठ बॉक्स में निम्नलिखित दर्ज करें:

CentOS / RHEL 6.x पर:

SSLPonorCipherOrder SSLProtocol
-ll + TLSv1 + TLSv1.1 + TLSv1.2 पर

CentOS / RHEL 5.x पर:

SSLPonorCipherOrder SSLProtocol
-ll + TLSv1 पर

… और फिर अद्यतन पर क्लिक करें ।

एक बार जब आप अपडेट पर क्लिक करते हैं, तो आपको अपाचे को फिर से शुरू करने के लिए प्रेरित किया जाएगा; इस समय ऐसा करें।

मूल स्रोत: https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/

इसाईस वेलेंसिया
स्रोत
1
यह उत्तर WHM / cPanel के माध्यम से नियंत्रित सर्वरों के लिए प्रासंगिक है, CentOS चलाने वाले सर्वरों के लिए नहीं।
बजे बोगदान स्टेंसनस्कु
0

जिस विधि का आप उपयोग कर रहे हैं वह अपाचे और ओपेंस्ल के नए संस्करण के लिए है। यह संभव है कि इनमें से नया संस्करण आपके सिस्टम पर स्थापित नहीं है, वर्तमान स्थापित संस्करण को सत्यापित करें।

चूंकि SSLv2और SSLv3दोनों कुछ हमलों की चपेट में हैं, इसलिए केवल टीएलएस का उपयोग करना बेहतर होगा। तो अपनी Apache conf फाइल को इस प्रकार संशोधित करें,

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

या

SSLProtocol TLSv1
P4cK3tHuNt3R
स्रोत
हां, मैंने भी कोशिश की कि - कोई खुशी नहीं। :-(
क्या आप कृपया "apachectl configtest" कमांड का आउटपुट पेस्ट कर सकते हैं।
P4cK3tHuNt3R
0

मेरे पास एक समान मुद्दा था और मैंने जांच की थी कि मेरे पास सभी उपयुक्त अपाचे सेटिंग्स सही थीं।

हालाँकि मुझे जो याद आया वह यह था कि मैंने अपाचे के सामने एक रिवर्स प्रॉक्सी के रूप में नाज़ीक्स किया था। मैं भी Plesk का उपयोग कर रहा हूँ और यह उनके POODLE फिक्सेस गाइड से है :

यदि आप Nginx चला रहे हैं, तो अन्य SSL निर्देशों के बीच अपने कॉन्फ़िगरेशन में निम्न पंक्ति शामिल करें /etc/nginx/nginx.conf:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
icc97
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.