https: пересмотр Apache TLS: Debian, Apache2, openssl.Как?

Question

В современных браузерах мой сайт помечен как небезопасный:

Google Chrome, например, говорит "The server does not support the TLS renegotiation extension" в "Информация о странице".

HTTPS работает нормально, хотя соединение зашифровано и сертификат действителен.

# openssl version
OpenSSL 0.9.8g 19 Oct 2007

# cat /etc/debian_version
5.0.6

# apache2ctl -V
Server version: Apache/2.2.9 (Debian)
Server built:   Apr 20 2010 21:44:40
Server's Module Magic Number: 20051115:15
Server loaded:  APR 1.2.12, APR-Util 1.2.12
Compiled using: APR 1.2.12, APR-Util 1.2.12
Architecture:   64-bit
Server MPM:     ITK
  threaded:     no
    forked:     yes (variable process count)
Server compiled with....
 -D APACHE_MPM_DIR="server/mpm/experimental/itk"
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=128
 -D HTTPD_ROOT=""
 -D SUEXEC_BIN="/usr/lib/apache2/suexec"
 -D DEFAULT_PIDLOG="/var/run/apache2.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="/etc/apache2/mime.types"
 -D SERVER_CONFIG_FILE="/etc/apache2/apache2.conf"

Я использую репозиторий dotdeb для моей установки LAMP, поэтому Apache 2.2.9.

• Что-то не так с моим конфигурация сервера?

• Или что-то не так с Сертификат используется?

• С чего мне начать выслеживать вопрос?

Answer 1

Согласно журналу изменений Debian вы используете пакет apache2 версии 2.2.9-10 + lenny8 (последний доступный для Lenny), выпущенный 20 апреля 2010 года. Версия 2.2.9-10 + lenny6 представила быстрое решение проблемы (CVE-2009-3555):

Отклонить любой инициированный клиентом SSL / TLS повторные переговоры. Это частичное исправление для атаки внедрения префикса пересмотра TLS (CVE-2009-3555). Любая конфигурация, которая требует пересмотра для в-справочник / место контроль доступа или использует «SSLVerifyClient необязательно» по-прежнему уязвима.

Поэтому вы должны отключить SSLVerifyClient optional в директивах Directory или Location.

Расширение пересмотра TLS (RFC 5746), которое решает проблему в SSLVerifyClient optional в более общем плане, было реализовано в версиях OpenSSL 0.9.8m и 1.0.0a, которые вам понадобятся, если вы захотите его использовать.

Если вы не используете SSLVerifyClient optional в директивах location / directory, ваша конфигурация не выглядит небезопасной, она просто не поддерживает это расширение TLS, которое позволило бы вам продолжать использовать проверку подлинности на основе сертификата клиента. -директория / местоположение.

Apache Httpd 2.2.15 также ввел директиву SSLInsecureRenegotiation, если вы хотите вызвать небезопасное поведение (и использовать OpenSSL 0.9.8m или выше).

Answer 2

Я не уверен, почему, но я наткнулся на то, что, кажется, решение этой проблемы. У меня был только 1 vhost для SSL, и я заметил, что перенаправление с http -> https не работает. Я попробовал несколько вариантов правил переписывания безрезультатно. Поэтому я решил создать второй vhost на 80-м порту. Перенаправление начало работать, и Chrome начал показывать зеленый символ https в углу: D