Согласно: ОБЪЯВИТЕ: Фунт - обратный прокси и подсистема балансировки нагрузки - v2.7d / Robert Segall, после улучшения был добавлен:
- added "Disable PROTO" directives (fix for Poodle vulnerability)
Моя система:
[root@6svprx01 ~]# uname -a
Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux
[root@6svprx01 ~]# rpm -q Pound
Pound-2.6-2.el6.x86_64
[root@6svprx01 ~]# grep Ciphers /etc/pound.cfg
Ciphers "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM"
[root@6svprx01 ~]#
... для обращения к ПУДЕЛЮ SSLv3 добавил я !SSLv3
в Ciphers
.
Все же при использовании Qualys SSL Labs - Projects / SSL Server Test
для тестирования я добираюсь Protocol or cipher suite mismatch
в Handshake Simulation
.
Существует ли способ обратиться к этому, не обновляя до Фунта v2.7d (бета) и затем с помощью новых директив?
можно использовать goochjj / pound в ветке pcidss / v2.6 , что является Pound 2.6, плюс необходимые (изначально) исправления для шифрования и протокола для обеспечения соответствия PCI, и частью этого является директива по отключению SSL3.
# grep DisableSSL /etc/pound.cfg
DisableSSLv3
DisableSSLv2
#
* UPDATE *
DisableSSLv3
, похоже, неизвестная директива
с использованием версии 2.6
без исправлений, используйте -SSLv3: -SSLv2
внутри Шифры
.
Ответ @ alexus выше у меня отлично сработал. Добавьте сюда несколько дополнительных примечаний на тот случай, если другие увидят эту страницу, как я. Похоже, что для этой конкретной комбинации проблем не так много хороших рекомендаций.
1) Причина исходной проблемы заключается в том, что версия Pound без исправлений отключает все шифры SSLv3 при добавлении ! SSLv3
к шифрам
. TLS в основном зависит от одних и тех же шифров и без них не будет работать.
2) Более старые версии GCC выдадут ошибку при попытке запустить ./ configure
для исправленной версии в ссылке @ alexus, поскольку он не распознает -Wno-unused -result
флаг. Я удалил это вручную, и после этого все, кажется, работает нормально.
3) Директива DisableSSLv3
находится внутри блока ListenHTTPs
в pound.cfg
(рядом с директивой Ciphers
)