SSLv3 отключен на Apache, но все еще используется для отправки на другие веб-сайты? [закрыто]
Я выполнил инструкции для CentOS 6, чтобы отключить SSL v3 в Apache (2.2.15, не уверен, насколько это важно), но похоже, что он отключает его только для входящих клиентов, а не исходящих запросов (например, для authorize.net для транзакций по кредитным картам). Мне трудно найти какие-либо инструкции, кроме тех, которые, кажется, просто отключают его для клиентов.
Я отредактировал /etc/httpd/conf.d/ssl.conf и изменил эта строка:
SSLProtocol all -SSLv2 -SSLv3
Я перезапустил Apache, но когда я запускаю исходящий запрос, похоже, что SSLv3, возможно, все еще используется (я показываю только то, что кажется наиболее важным для этой проблемы; вы можете попробовать себя, чтобы увидеть полную output):
# openssl s_client -connect google.com:443
New, TLSv1/SSLv3, Cipher is blah blah blah
SSL-Session:
Protocol : TLSv1.2
Cipher : blah blah blah
more blah blah blah
Start Time: 1414621669
Timeout : 300 (sec)
Verify return code: 0 (ok)
Я читаю это неправильно или мне нужно сделать что-то еще, чтобы сервер вообще не переключился на SSLv3 при отправке запроса ests?
Выясните, что делает исходящие запросы SSL. Это какой-то PHP-код? Или какой-нибудь Java-код? Или какой-нибудь код Python? Как бы то ни было, вам придется настроить параметры SSL / TLS в соответствующем месте для вашего кода. Почти наверняка вам нужно настраивать здесь не Apache.
Также обратите внимание на атаку перехода на более раннюю версию SSL, которая может быть использована для принудительного понижения уровня TLS-соединения до SSLv3, чтобы активировать атаку Poodle. Вам нужно будет обновить OpenSSL, чтобы отключить эту атаку перехода на более раннюю версию.