В недавнем сканировании безопасности, которое мы провели на наших серверах, мы получили следующий комментарий:
Как правило, для Apache / mod_ssl httpd.conf или ssl.conf должны иметь следующие строки:
SSLProtocol -ALL + SSLv3 + TLSv1
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! EXP: RC4 + RSA: + HIGH: + MEDIUM
Для Apache / apache_ssl включите следующую строку в файл конфигурации (httpsd.conf):
SSLRequireCipher ALL:! ANULL:! ADH:! ENULL:! LOW:! EXP: RC4 + RSA: + HIGH: + MEDIUM
файл mod_ssl.conf был обновлен в соответствии с инструкциями
обновить apache2.con с помощью этой строки:
SSLRequireCipher ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
И перезапуская Apache2, я получаю:
Неверная команда 'SSLRequireCipher', возможно, с ошибкой или определена
модуль не включен в конфигурацию сервера
Я попробовал эту строку в apache2.conf:
SSLRequire% {SSL_CIPHER_USEKEYSIZE}> = 128
и Apache2 перезапустились успешно, но при повторном запуске сканирования я получил то же самое:
Сервер SSL допускает уязвимость анонимной аутентификации