12 votes

Matt Hughes avatar

Désactiver SSLv3 mais toujours prendre en charge SSLv2Hello dans Apache

Demandé el 17 de Octobre, 2014
Quand la question a-t-elle été
16110 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

De nombreux clients SSL, notamment JDK 6, utilisent le protocole SSLv2Hello pour l'handshake avec le serveur. Utiliser ce protocole ne signifie pas que vous utilisez SSL 2.0 ou 3.0 en l'occurrence ; c'est simplement un handshake pour déterminer quel protocole utiliser. [https://www.rfc-editor.org/rfc/rfc5246#appendix-E.2]

Cependant, dans Apache, si vous désactivez le support SSLv3, cela supprime apparemment le support pour le protocole SSLv2Hello. Apache Tomcat a un support explicite pour SSLv2Hello ; vous pouvez donc activer cela, mais ne pas activer SSLv3.

Existe-t-il un moyen de le faire dans Apache ?

[Mise à jour]

Voici ma configuration de protocole :

  SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
Demandé el 17 de Octobre, 2014 par Matt Hughes

Réponses

Trop de publicités?

7voto

frameworkninja avatar
frameworkninja Points 628

Apparemment, mod_ssl a changé au cours de l'année écoulée (je n'ai pas trouvé le commit exact dans la source, mais j'ai trouvé le "problème"). La source fait maintenant ceci :

Si SSLProtocol inclut seulement un Protocole :
    Handshake = Uniquement le Handshake de ce Protocole
Sinon
    Handshake = Handshake SSLv2

Il n'y a pas de remplacement pour ce paramètre. La seule chose que vous pourriez faire est de modifier la source, recompiler votre propre version. J'ai créé une diff pour forcer la compatibilité avec le Handshake SSLv2 si vous voulez compiler la vôtre.

Répondu el 20 de Octobre, 2014 par frameworkninja (628 Points )

1voto

Matt Hughes avatar
Matt Hughes Points 231

Il s'avère que c'était un faux problème depuis le début. Apache acceptera une poignée de main SSLv2 avec l'une ou l'autre des configurations que j'ai postées ci-dessus. J'ai été induit en erreur par une erreur de poignée de main qui me faisait penser que c'était le problème ; en réalité, c'était simplement un problème de configuration où le serveur ne faisait pas confiance à l'autorité de certification du client.

Répondu el 22 de Octobre, 2014 par Matt Hughes (231 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X