В нашем приложении есть уязвимость, которая называется Небезопасный транспорт: слабый протокол SSL, как это исправить в Apache.

Question

В нашем приложении есть уязвимость, которая называется Небезопасный транспорт: слабый протокол SSL.Пройдя через StackOverflow, я обнаружил, что решение для исправления этой уязвимости состоит в том, что мне нужно добавить

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

в конфигурации apache.Добавил это в файл /extra/httpd-ssl.conf.Я хочу знать, будет ли это вызываться, потому что в httpd.conf он комментируется следующим образом:

#Include conf/extra/httpd-ssl.conf.

Пожалуйста, дайте мне знать, как исправить проблему со слабым протоколом SSL в Apache.

<VirtualHost *:8082>
    ServerAdmin webmaster@xx.xxxx.com
    ServerName customer.xxxx.com
    ServerAlias origin-customer.xxxx.com
    ServerAlias www.xxxx.com
    DocumentRoot "/apps/production/app/apache/htdocs"
    ErrorLog "| /apps/production/app/apache/bin/rotatelogs /apps/production/app/apache/logs/customer.xxxx.com-SSL-error_log.%Y%m%d 86400"
    CustomLog "| /apps/production/app/apache/bin/rotatelogs /apps/production/app/apache/logs/customer.xxxx.com-SSL-access_log-cus.%Y%m%d 86400" combined
    LogLevel warn
Header echo akamai-x-cache-on
Header set Cache-Control "max-age=0, public"
    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} ^TRACE
    RewriteRule .* - [F]
    <Directory "/apps/production/app/apache/htdocs">
        Options -Indexes +FollowSymLinks
        AllowOverride None
        Order allow,deny
        Allow from all
    </Directory>
        ErrorDocument 500 https://www.xxxx.com/maintenance/
        ErrorDocument 503 https://www.xxxx.com/maintenance/
        ErrorDocument 404 https://www.xxxx.com/404
        ErrorDocument 403 https://www.xxxx.com/maintenance/
</VirtualHost>

Answer 1

Слабый протокол SSL обычно означает, что ваш apache поддерживает устаревшие протоколы, которые не обеспечивают достаточный уровень безопасности. Протоколы TLS 1.0 / 1.1 и SSL 2.0 / 3.0 устарели с TLS 1.0 уязвимы для определенных атак. Они не должны поддерживаться.

Чтобы найти его, найдите в httpd.conf или ssl.conf файле SSLProtocol all -SSLv2 -SSLv3 и прокомментируйте его.

Добавьте следующую строку на ее место.

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Это можно сделать внутри вашей конфигурации <VirtualHost>, если вы настроили ее также. Чтобы ответить на вашу последнюю часть вопроса, если новый файл конфигурации SSL содержит комментарий, он не будет включен.

Ссылка на документацию Apache

Пример конфигурации с использованием виртуального хоста

<VirtualHost localhost:443>
            RewriteEngine On
            ServerAdmin admin@domain.com
            DocumentRoot /var/www/
            ServerName *.domain.com
            SSLEngine on

            SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

            SSLCertificateFile /usr/local/ssl/crt/certificate.crt
            SSLCertificateKeyFile /usr/local/ssl/private/private.key
            SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt
            ServerPath /var/
            <Directory "/var/www/">
            </Directory>
</VirtualHost>