Я недавно установил сертификат SSL на своем сервере. Затем я испытал этот инструмент, чтобы протестировать мой недавно установленный сертификат SSL на моем сервере и видеть, нет ли никакой проблемы.
Оказалось, что это имеет проблему с протоколом SSL 3, говоря, что это небезопасно из-за уязвимости от нападения ПУДЕЛЯ.
Страница предлагает отключить SSL 3 для смягчения его.
Таким образом, я искал Интернет о том, как отключить *SSLv3 и SSLv2 ** на сервере Apache 2.4.
Я нашел несколько учебных руководств, который говорит... для отключения SSLv3 и SSLv2 на моем сервере Ubuntu 14.04 с Apache 2.4, я должен отредактировать все экземпляры SSLProtocol all
на всех файлах внутри /etc/apache2
, и измените его на SSLProtocol all -SSLv2 -SSLv3
.
Я уже сделал следующее, но все еще Инструмент тестирования Сервера SSL SSL Lab сообщает о той же проблеме.
Уже добавленный это ко всем моим vhost и всему файлу конфигурации, который имеет SSLProtocol
...
SSLProtocol all -SSLv2 -SSLv3
На моем сервере у меня есть Прокси Фунта установки с Кэшем Лака.
Я сделал это, потому что Лак не может сделать, это - вещь с помощью HTTPS, и таким образом, я устанавливаю Фунт и использую Лак, поскольку это - бэкенд.
Установка хорошо работает, Лак кэшируется на HTTPS.
Мой сертификат SSL был установлен правильно, я подтвердил что с помощью сетевых инструментов от Labs SSL и Digicert.
SSL файлы Pem, используемые с Фунтом, содержат информацию, извлек из .key
, .crt
и CA.pem
.
Ниже некоторые детали о моем сервере. Это размещает единственный экземпляр Wordpress на нем, это работает.
Apache ports.conf
и sites-available/myvhost.conf
-
<IfModule mod_ssl.c>
Listen 9443
Apache
.vcl
- DAEMON_OPTS = "-a:80"ListenHTTPS
Сервер настраивается с помощью Tuxlite, который я загрузил со следующей страницы:
https://github.com/Mins/TuxLite
Distributor ID: Ubuntu
Description: Ubuntu 14.04.2 LTS
Release: 14.04
Codename: trusty
Server version: Apache/2.4.7 (Ubuntu)
Server built: Mar 10 2015 13:05:59
Server's Module Magic Number: 20120211:27
Server loaded: APR 1.5.1-dev, APR-UTIL 1.5.3
Compiled using: APR 1.5.1-dev, APR-UTIL 1.5.3
Architecture: 64-bit
Server MPM: event
threaded: yes (fixed thread count)
forked: yes (variable process count)
Server compiled with....
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=256
-D HTTPD_ROOT="/etc/apache2"
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="mime.types"
-D SERVER_CONFIG_FILE="apache2.conf"
starting...
Version 2.6
Configuration switches:
--enable-cert1l
Exiting...
varnishd (varnish-4.0.3 revision b8c4a34)
Copyright (c) 2006 Verdens Gang AS
Copyright (c) 2006-2014 Varnish Software AS
Как я мог отключить SSLv2 и Протокол SSLv3 на моем сервере?
Я вставил следующие записи в мой /etc/pound/pound.cfg
файл:
ListenHTTPS
...
Cert "---"
Ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:-RC4:EECDH+aRSA+RC4:EECDH+RC4:EDH+aRSA+RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:RC4+SHA"
....
И теперь я получил Класс C в Labs SSL.
SSL 3 небезопасное моделирование квитирования допускает ошибку для IE6 / XP.
Похоже на то, что ваш фунт с SSL на порту 443.
Чтобы исправить эту проблему, имейте следующие строки в файле /etc/pound.cfg и перезапустите фунт и протестируйте
DisableSSLv3.
DisableSSLv2