Portál AbcLinuxu, 13. května 2025 00:33

Dotaz: zakayani SSLv3

23.2.2016 11:19 Jan
zakayani SSLv3
Přečteno: 261×
Odpovědět | Admin
Dobry den,

chtel bych na apachi v centos zakázat SSLv3 ale nedari se to. Pridal jsem do ssl.conf

SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder On SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

a ssl labs stale hlasi že podporuju SSLv3. Tak jsem zkusil to same pridat do konkretniho vhostu a taky bez efektu. Mam na serveru cca 10 vhostů a nekteri maji nakonfigurovane CipherSuite a SSLProtocol samy o sobe.

Je zde nějaka priorita konfiguraků, jeslti má treba ssl.conf prednost nebo tak neco? Nebo musím ve vsech vhost smazat duplicity a vse udelat jen v ssl.conf.

Dekuji
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

23.2.2016 13:06 Jirka
Rozbalit Rozbalit vše Re: zakayani SSLv3
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jen pro jistotu: restart byl proveden?
23.2.2016 14:18 Filip Jirsák
Rozbalit Rozbalit vše Re: zakayani SSLv3
Odpovědět | | Sbalit | Link | Blokovat | Admin
Virtualhosty máte podle IP adresy, nebo podle jména (SNI)? Protože v tom druhém případě podle mne musí být konfigurace SSL pro virtualhosty stejná – doménové jméno se předává až v rámci SSL komunikace (i když hned na začátku, takže teoreticky tam ještě prostor pro nastavení parametrů SSL je – nehledal jsem přesnou posloupnost jednotlivých kroků).

Ještě takový hloupý dotaz – víte o tom, že SSLLabs výsledky kešuje, a pokud chcete provést nový test, mají na to na stránce s výsledky odkaz? Pro takovéhle základní otestování je podle mne lepší použít openssl s_client.
23.2.2016 16:13 Jan
Rozbalit Rozbalit vše Re: zakayani SSLv3
Restart jsem provedl. O cahce ssl labs vim. Daval jsem novy test. Vhosty mam na *:443 nastavene. openssl s_client jsem taky zkoušel. Když mám jen jednoho vhosta tak to hlasi failure a cipher 0000. Když pridam dalsiho vhosta se stejnou konfiguraci tak to same ale když to u jednoho zmenim a nevypnu SSLv3 tak openssl s_client skonci error read

Protocol : SSLv3 Cipher : ECDHE-RSA-AES256-SHA Session-ID: FB750B81FF6B28C1AC2D6EFBF3A4F4AECE74E13DAFA0B22BABEA672FF3E7BEE0 Session-ID-ctx: Master-Key: 29AC3BB30ADBBD42105FE2E1E490B4E0961967A90C67DF421AA3BC03A97BD64A784246B38F889392F3E855A6FC4A5475 Key-Arg : None Krb5 Principal: None PSK identity: None PSK identity hint: None Start Time: 1456226518 Timeout : 7200 (sec) Verify return code: 21 (unable to verify the first certificate) --- read:errno=0

Vypada to jakoby to chtelo mit zakazane sslv3 uplne všude aby to proslo ssl labs testem.
23.2.2016 17:40 Filip Jirsák
Rozbalit Rozbalit vše Re: zakayani SSLv3
Protokoly musíte nastavit na úrovni serveru, resp. bere se v úvahu jen první virtualhost. Je to chyba OpenSSL (a odpovídající ticket mod_ssl).
23.2.2016 18:53 Jan
Rozbalit Rozbalit vše Re: zakayani SSLv3
Děkuji. Na něco takoveho jsem nenerazil nikde.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.