web-dev-qa-db-ja.com

Apache httpdのSSLv2を無効にする方法

https://www.ssllabs.com/ で自分のサイトをテストしたところ、SSLv2は安全ではないため、脆弱な暗号スイートと一緒に無効にする必要があります。

どうすれば無効にできますか?以下を試しましたが、うまくいきません。

  1. FTPで/etc/httpd/conf.d/ssl.confに行きました。追加されました

    SSLProtocol -ALL +SSLv3 +TLSv1
    SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    
  2. PuTTYによってサーバーに接続し、service httpd restartコマンドを実行しました。

しかし、それでもサイトでは安全ではないように見えます。どうすれば修正できますか?私のサーバーはPlesk 10.3.1 CentOSです。同じサーバー上に3〜4つのサイトがあります。

8
Yahoo

SSLProtocolおよびSSLCipherSuite行を次のように変更します。

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Apacheをリロードして設定を有効にします。

SSLHonorCipherOrder Onは、指定された順序で暗号を試行します。

上記の構成は、TLSバージョンを除き、ssllabs.comのチェックに合格します。私のCentOS 6はOpenSSL 1.0.0のため、TLS 1.0のみをサポートしています。 OpenSSL 1.0.1はTLS 1.1および1.2をサポートします。

Apacheの前にロードバランサーまたはプロキシがありますか?

10
Chida

追加したものを上書きしているApache構成のどこにも別のSSLProtocolまたはSSLCiperSuiteディレクティブがないことを確認したい場合があります。

それが見つからない場合は、ssl.confではなく、これら2つをSSL仮想ホストに追加してみてください。これは、正しいものが最後に適用されたものであることを確認するのに役立ちます。

3
Ladadadada

1つは私のために働いた

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

これを試してみてください。

0