web-dev-qa-db-ja.com

Ubuntu14.04サーバーでSSLv3およびSSLv2プロトコルを無効にする

最近、サーバーにSSL証明書をインストールしました。次に、 このツール を試して、サーバーに新しくインストールしたSSL証明書をテストし、問題がないかどうかを確認しました。

SSL 3プロトコルに問題があることが判明し、POODLE攻撃の脆弱性のために安全ではないと述べました。

このページでは、SSL3を無効にして軽減することを提案しています。

そこで、Apache2.4サーバーで* SSLv3とSSLv2 **を無効にする方法をインターネットで検索しました。

Apache2.4を搭載したUbuntu14.04サーバーでSSLv3とSSLv2を無効にするには、次のすべてのインスタンスを編集する必要があるというチュートリアルをいくつか見つけました。 SSLProtocol all内のすべてのファイルで/etc/Apache2を実行し、SSLProtocol all -SSLv2 -SSLv3に変更します。

私はすでに次のことを行いましたが、それでもSSLLabのSSLサーバーテストツールは同じ問題を報告します。

すでにこれを私のすべての仮想ホストとSSLProtocol ..を持つすべての設定ファイルに追加しました.

SSLProtocol all -SSLv2 -SSLv3

マイサーバーのセットアップについて

私のサーバーでは、Varnish Cacheを使用してPound Proxyをセットアップしました。

これを行ったのは、VarnishがHTTPSを使用してそれを行うことができないため、Poundをセットアップし、Varnishをバックエンドとして使用します。

セットアップは正常に機能しており、VarnishはHTTPSでキャッシュしています。

SSL証明書が正しくインストールされました。DigicertとSSLLabsのオンラインツールを使用していることを確認しました。

Poundで使用されるSSL Pemファイルには、.key.crt、およびCA.pemから抽出された情報が含まれています。

マイサーバーの詳細

以下は私のサーバーに関する詳細です。単一のWordpressインスタンスをホストし、本番環境にあります。

ポート

  • Apache-ポート8080

  • Apache ports.confおよびsites-available/myvhost.conf-

    <IfModule mod_ssl.c>
    Listen 9443

  • Apache

  • ワニスバックエンド-ポート8080
  • ニス.vcl --DAEMON_OPTS = "-a:80"
  • ポンドは、ListenHTTPSを使用して構成されたポート443でリッスンします

サーバーは、次のページからダウンロードしたTuxliteを使用してプロビジョニングされます。

https://github.com/Mins/TuxLite

LSBリリース出力:

Distributor ID: Ubuntu
Description:    Ubuntu 14.04.2 LTS
Release:    14.04
Codename:   trusty

Apacheの出力:

Server version: Apache/2.4.7 (Ubuntu)
Server built:   Mar 10 2015 13:05:59
Server's Module Magic Number: 20120211:27
Server loaded:  APR 1.5.1-dev, APR-UTIL 1.5.3
Compiled using: APR 1.5.1-dev, APR-UTIL 1.5.3
Architecture:   64-bit
Server MPM:     event
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/etc/Apache2"
 -D SUEXEC_BIN="/usr/lib/Apache2/suexec"
 -D DEFAULT_PIDLOG="/var/run/Apache2.pid"
 -D DEFAULT_SCOREBOARD="logs/Apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="mime.types"
 -D SERVER_CONFIG_FILE="Apache2.conf"

ポンド出力:

starting...
Version 2.6
  Configuration switches:
    --enable-cert1l
Exiting...

ワニスバージョン:

varnishd (varnish-4.0.3 revision b8c4a34)
Copyright (c) 2006 Verdens Gang AS
Copyright (c) 2006-2014 Varnish Software AS

サーバーでSSLv2およびSSLv3プロトコルを無効にするにはどうすればよいですか?

更新

/etc/pound/pound.cfgファイルに次のエントリを挿入しました。

ListenHTTPS
    ...
    Cert "---"
    Ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:-RC4:EECDH+aRSA+RC4:EECDH+RC4:EDH+aRSA+RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:RC4+SHA"
    ....

そして今、SSLラボで[〜#〜] c [〜#〜]の成績を取得しました。

IE6/XPのSSL3の安全でないハンドシェイクシミュレーションエラー。

sslpoodle
1
Gary Dapogi

ポート443でSSLを使用してPoundを実行しているようです。

この問題を修正するには、/ etc/pound.cfgに次の行を入れ、poundを再起動してテストします。

DisableSSLv3 DisableSSLv2

1
serverliving.com