POODLE暗号!SSLv3 =プロトコルまたは暗号スイートの不一致
によると: ANNOUNCE:Pound-リバースプロキシおよびロードバランサー-v2.7d/Robert Segall 、次の拡張機能が追加されました:
- added "Disable PROTO" directives (fix for Poodle vulnerability)
私のシステム:
[root@6svprx01 ~]# uname -a
Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux
[root@6svprx01 ~]# rpm -q Pound
Pound-2.6-2.el6.x86_64
[root@6svprx01 ~]# grep Ciphers /etc/pound.cfg
Ciphers "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM"
[root@6svprx01 ~]#
... POODLE SSLv3に対処するために、!SSLv3をCiphersに追加しました。
しかし、Qualys SSL Labs - Projects / SSL Server Testを使用してテストしていると、Protocol or cipher suite mismatchにHandshake Simulationが入ります。
これに対処する方法はありますか[〜#〜] [〜#〜]をPound v2.7d(ベータ)にアップグレードしてから新しいディレクティブを使用せずに?
goochjj/pound at pcidss/v2.6 ブランチ(Pound 2.6)に加えて、PCIコンプライアンスに合格するために(最初は)必要な暗号パッチとプロトコルパッチを使用できます。その一部として、無効にするディレクティブがあります。 SSL3。
# grep DisableSSL /etc/pound.cfg
DisableSSLv3
DisableSSLv2
#
*更新*
DisableSSLv3 であるように見えます unknown directiveパッチを適用していないVersion 2.6、 使用する -SSLv3:-SSLv2Ciphersの内部。
上記の@alexusの答えは私にとって完璧に機能しました。私のように他の人がこのページに出くわした場合に備えて、ここにいくつかのメモを追加します。この特定の問題の組み合わせについては、良いガイダンスがあまりないようです。
1)元の問題の理由は、パッチが適用されていないバージョンのPoundは、!SSLv3をCiphersに追加すると、すべてのSSLv3暗号を無効にするためです。 TLSはほとんど同じ暗号に依存しており、それらがないとうまく機能しません。
2)古いバージョンのGCCは、@ alexusのリンクのパッチが適用されたバージョンで./configureを実行しようとすると、-Wno-unused-resultフラグを認識しないため、エラーが発生します。手動で削除しましたが、その後はすべて正常に動作しているようです。
3)DisableSSLv3ディレクティブはpound.cfgのListenHTTPsブロック内にあります(Ciphersディレクティブの隣)