So deaktivieren Sie SSLV3 in Apache

Einführung:

SSL 3.0 gilt als unsicher, da es RC4-Verschlüsselung oder CBC-Modus-Verschlüsselung verwendet. Ersteres ist anfällig für Bias-Angriffe und letzteres kann zu POODLE-Angriffen führen.

In Produktionsumgebungen wird diese Schwachstelle häufig gescannt. Die Lösung besteht darin, das Protokoll auf dem Apache-Server zu deaktivieren.

(Lernvideo-Sharing: Programmiervideo) 1. Umgebungsvorbereitung

SSL und TLS verstehen: Um dieses Problem zu lösen, wurde https ins Leben gerufen, und SSL basiert auf der Verschlüsselung Protokoll. Als SSL auf Version 3.0 aktualisiert wurde, standardisierte die IETF (Internet Engineering Task Force) SSL3.0. Das standardisierte Protokoll ist TLS 1.0, daher gibt es derzeit drei Versionen von TLS 1.2 , 1.0 wird standardmäßig verwendet. An diesem Punkt haben wir ein grundlegendes Verständnis von SSL und TLS.

Die Serverbetriebsumgebung, die für die Unterstützung des Webservers TLS1.2 erforderlich ist:

Apache对应版本应>=2.2.23;
OpenSSL对应版本应>= 1.0.1

Überprüfen Sie die aktuelle Server-Apache-Version

[root@host-192-168-149-10 conf.d]# httpd -v
Server version: Apache/2.4.29 (Unix)
Server built:   Jan 22 2018 16:51:25

openssl-Version

[root@host-192-168-149-10 conf.d]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

2. Umgebungskorrektur

Testen Sie Domänennamen mit Sicherheitslücken. Zugriff über SSLV3 Da die folgenden Informationen normalerweise zurückgegeben werden können, könnte ein Angreifer diese Schwachstelle ausnutzen, um das System zu gefährden.

[root@host-192-168-149-10 conf.d]# curl  --sslv3 https://cs.df230.xyz/test/api/configs/fedch/all
{
  "overdue" : false,
  "success" : true,
  "errorCode" : null,
  "message" : "请求成功",
  "data" : {
    "global" : {
      "copyright" : "功能清单",
}

Apache unterstützt standardmäßig die Protokolle SSLv3, TLSv1, TLSv1.1, TLSv1.2

(Hinweis: Die SSL-Funktion muss LoadModule ssl_modulemodules/mod_ssl.so in http.conf aktivieren)

Die Standardkonfiguration von Apache lautet wie folgt

SSLProtocol All -SSLv2

Geben Sie das Verzeichnis/usr/local/apache/conf/extra ein

vi ändern Sie ssl.conf wie folgt, um das SSLV3-Protokoll zu schließen

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLProtocol TLSv1.2

Nach dem Speichern der Konfiguration müssen Sie den Dienst httpd restart starten, um Apache neu zu starten, damit die Konfiguration übernommen wird Wirkung

Testen Sie den SSLV3-Zugriff erneut.

[root@host-192-168-149-10 conf.d]# curl  --sslv3 https://cs.df230.xyz/test/api/configs/fedch/al
curl: (35) SSL connect error

Rufen Sie den Entwicklungsmodus über Google Chrome F12 auf. Sie können sehen, dass das vom Browser verwendete SSL-Protokoll TLS1.2 ist.

An diesem Punkt ist die Behebung der Schwachstelle abgeschlossen, so einfach!

Verwandte Empfehlungen:

Apache-Tutorial

Das obige ist der detaillierte Inhalt vonSo deaktivieren Sie SSLV3 in Apache. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!