Отключить SSL 2.0, но не обновленный SSL 2.0+? Apache 2.x - PullRequest
Новая
       6

Отключить SSL 2.0, но не обновленный SSL 2.0+? Apache 2.x

1 голос
/ 11 января 2012

Предыстория: я запустил проверку безопасности на выделенном сервере (linux), который теперь используется администратором: https://www.ssllabs.com/ssldb/index.html. Он говорит, что мои протоколы SSL:

Протоколы 

- TLS 1.2  No
- TLS 1.1  No
- TLS 1.0  Yes
- SSL 3.0  Yes
- SSL 2.0+ Yes upgrade support
- SSL 2.0  Yes INSECURE

Я собираюсь добавить сертификат SSL на сервер, поэтому я решил, что должен исправить это, пока я там. Я новичок в администрировании веб-хостинга, поэтому объяснения для меня полезны.

Мой вопрос (а): Во-первых, что такое поддержка обновления SSL 2.0+? Во-вторых, я могу отключить SSL 2.0 и не отключить SSL 2.0 +? Мой Apache 2.x в настоящее время имеет настройку SSLCipherSuite:

SSLCipherSuite ALL:! ADH:! EXPORT56: RC4 + RSA: + HIGH: + MEDIUM: + LOW: + SSLv2: + EXP: + eNULL

Если я поменяю его на

SSLCipherSuite All:! ADH:! EXPORT56: RC4 + RSA: + HIGH: + MEDIUM: + LOW: -SSLv2: + EXP: + eNULL

достигнет ли это моей цели?

Заранее спасибо! (Первое сообщение!)

Ответы [ 2 ]

4 голосов
/ 07 мая 2012

Вы приняли SSL 2.0+ upgrade support за то, что это не так.

Это означает, что сервер поддерживает старое рукопожатие в стиле SSL 2.0, которое позже было расширено, чтобы позволить инициировать соединение в старом стиле 2.0, но позволить клиенту указать его действительно хотел поговоритьSSL 3.0 в любом случае. Это не проблема безопасности, и вы можете оставить ее включенной, если вы намереваетесь обеспечить поддержку SSL 3.0.

Кроме того, все дело не в комплектах шифров, а в версиях протоколов.

Чтобы оставить все, что поддерживает Apache включенным, кроме SSL 2.0, используйте : SSLProtocol all -SSLv2

0 голосов
/ 16 февраля 2012

Во-первых, что такое поддержка обновлений SSL 2.0+? Я обнаружил, что SSL 2.0+ - это всего лишь SSL 2.0, но с поддержкой правильной обработки уязвимости пересмотра.

Во-вторых, можно ли отключить SSL 2.0, а не отключить SSL 2.0+? Простой ответ: не знал. SSL2.0 + даже не определен в документации по веб-сайтам этой оценки. Насколько я могу судить, SSL 2.0+ является просто указанием погоды или нет, openssl имеет возможность обрабатывать обновление, которое исправило уязвимость пересмотра.

Изменение SSLCipherSuite для отключения SSLv2 позволило бы выполнить мою задачу по отключению SSL 2.0 INSECURE, однако также отключило бы SSL 2.0 +.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...