Вопросы Теги

Шифры ПУДЕЛЯ! SSLv3 = Комплект протоколов или несоответствие набора шифров

Согласно: ОБЪЯВИТЕ: Фунт - обратный прокси и подсистема балансировки нагрузки - v2.7d / Robert Segall, после улучшения был добавлен:

- added "Disable PROTO" directives (fix for Poodle vulnerability)

Моя система:

[root@6svprx01 ~]# uname -a
Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux
[root@6svprx01 ~]# rpm -q Pound
Pound-2.6-2.el6.x86_64
[root@6svprx01 ~]# grep Ciphers /etc/pound.cfg
    Ciphers    "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM"
[root@6svprx01 ~]#

... для обращения к ПУДЕЛЮ SSLv3 добавил я !SSLv3 в Ciphers.

Все же при использовании Qualys SSL Labs - Projects / SSL Server Test для тестирования я добираюсь Protocol or cipher suite mismatch в Handshake Simulation.

Существует ли способ обратиться к этому, не обновляя до Фунта v2.7d (бета) и затем с помощью новых директив?

2
задан 23 October 2014 в 23:09
2 ответа

можно использовать goochjj / pound в ветке pcidss / v2.6 , что является Pound 2.6, плюс необходимые (изначально) исправления для шифрования и протокола для обеспечения соответствия PCI, и частью этого является директива по отключению SSL3. 

# grep DisableSSL /etc/pound.cfg
    DisableSSLv3
    DisableSSLv2
#

* UPDATE *

DisableSSLv3 , похоже, неизвестная директива с использованием версии 2.6 без исправлений, используйте -SSLv3: -SSLv2 внутри Шифры .

3
ответ дан 3 December 2019 в 10:03

Ответ @ alexus выше у меня отлично сработал. Добавьте сюда несколько дополнительных примечаний на тот случай, если другие увидят эту страницу, как я. Похоже, что для этой конкретной комбинации проблем не так много хороших рекомендаций.

1) Причина исходной проблемы заключается в том, что версия Pound без исправлений отключает все шифры SSLv3 при добавлении ! SSLv3 к шифрам . TLS в основном зависит от одних и тех же шифров и без них не будет работать.

2) Более старые версии GCC выдадут ошибку при попытке запустить ./ configure для исправленной версии в ссылке @ alexus, поскольку он не распознает -Wno-unused -result флаг. Я удалил это вручную, и после этого все, кажется, работает нормально.

3) Директива DisableSSLv3 находится внутри блока ListenHTTPs в pound.cfg (рядом с директивой Ciphers )

1
ответ дан 3 December 2019 в 10:03

Теги

Похожие вопросы