다들 얘기하는 것 같아푸들벌레오늘. Apache에서 SSLv3을 비활성화하려면 다음 구성 지시문을 사용하는 것이 좋습니다.
SSLProtocol All -SSLv2 -SSLv3
기본값 대신
SSLProtocol All -SSLv2
이 작업을 수행했지만 다양한 도구를 사용하여 반복적으로 테스트한 결과 만족스럽지 않습니다(이건 빠르다), SSLv3이 내 서버에서 성공적으로 승인되었음을 확인했습니다.
예, Apache를 다시 시작했습니다. 예, 모든 구성 파일을 반복적으로 살펴보았는데 grep어디에도 재정의가 없었습니다. 아니요, 저는 일부 고대 버전의 Apache를 사용하고 있지 않습니다.
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
그렇다면 무엇을 제공합니까? 사람은 어때?진짜Apache에서 SSLv3을 비활성화하시겠습니까?
답변1
SSLProtocol all -SSLv2 -SSLv3저도 같은 문제가 있었습니다... httpd.conf의 모든 VirtualHost 스탠자를 포함해야 합니다.
VirtualHost 섹션은 일반적으로 httpd.conf 파일의 끝에 있습니다. 예를 들어:
...
...
<VirtualHost your.website.example.com:443>
DocumentRoot /var/www/directory
ServerName your.website.example.com
...
SSLEngine on
...
SSLProtocol all -SSLv2 -SSLv3
...
</VirtualHost>
또한 ssl.conf 또는 httpd-ssl.conf 또는 유사 항목이 거기에 설정되어 있을 수 있지만 반드시 httpd.conf에 있을 필요는 없으므로 확인하십시오.
답변2
Ubuntu 14.04에서도 동일한 문제가 발생했습니다. 이 글을 읽고 수정했습니다 /etc/apache2/mods-available/ssl.conf.
- 에서:
SSLProtocol all - 도착하다:
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
그러나 그것은 작동하지 않았습니다. 그래서 다음 "SSLCipherSuite" 섹션도 편집했습니다
/etc/apache2/mods-available/ssl.conf.
- 에서:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 - 도착하다:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
이제 그것은 나에게 효과적입니다.
그런데 암호 제품군은 POODLE의 영향을 받지 않고 프로토콜만 영향을 받습니다. 그러나 대부분의 브라우저는 비활성화된 SSLv3 암호 제품군에서 작동합니다.
메일 서버에서는 이것을 사용하지 마십시오! 또는 일부 장치에서 메일을 받지 못하는 문제에 직면할 수도 있습니다.
답변3
우분투 10.04의 경우
모든 활성 가상 호스트에서 SSLv3을 비활성화하려면 다음 옵션이 필요합니다.
/etc/apache2/mods-available/ssl.conf:
SSLProtocol all -SSLv2 -SSLv3
답변4
SSLCipherSuite를 확인하세요.확실히!SSLv3이 포함되어 있습니다. 이 맥락에서는 TLS1.0 및 TLS1.1을 의미하기도 합니다.
예를 들어 구성이 다음과 같은 경우SSL 프로토콜 모두, SSLCipherSuite가 !SSLv3으로 구성된 방식으로 인해 TLS1.2만 사용할 수 있습니다.