【问题标题】:Is SSLv3 disabled on my Apache 2.4.9 (Win32?)我的 Apache 2.4.9 (Win32?) 上是否禁用了 SSLv3
【发布时间】:2015-03-20 05:40:32
【问题描述】:

我在 windows Server 2008 R2 上运行 Apache 2.4.9。

SERVER_SOFTWARE                          Apache/2.4.9 (Win32) PHP/5.5.12 OpenSSL/1.0.1g 
SSL_PROTOCOL                             TLSv1.2 
Registered Stream Socket Transports      tcp, udp, ssl, sslv3, sslv2, tls

我需要立即禁用 SSLv3 以阻止 Poodle attacks。为此,我打开了文件\conf\extra\httpd-ssl.conf

然后我添加了下面这行代码

SSLProtocol All -SSLv2 -SSLv3

保存更改后,我重新启动了 Apache。

回来后,我查看了phpinfo() 的输出,但我仍然可以看到以下内容

SSL_PROTOCOL TLSv1.2 注册流套接字传输 tcp, udp, ssl, sslv3, sslv2, tls

phpinfo() 是我检查 SSLv3 和 SSLv2 是否被禁用的地方吗?

以下是我为确保正确执行此操作而采取的更多方法。 我尝试添加这一行而不是其他命令(即。 SSLProtocol All -SSLv2 -SSLv3)

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1.2

我什至尝试在 Apache24 目录中搜索任何包含单词“SSLProtocol”的文件,就像这样

C:\Apache24>findstr /s /i /p "SSLProtocol" *.*

仅找到 2 个文件

  1. httpd-ssl.conf
  2. CHANGES.txt

如何检查我的服务器上是否禁用了 SSLv3? 如果还没有禁用,如何正确禁用呢?

【问题讨论】:

    标签: php apache ssl apache2.4 poodle-attack


    【解决方案1】:

    SSLProtocol All -SSLv2 -SSLv3 应该在您的 Apache 安装中禁用 SSLv3 协议。For reference.
    我不确定phpinfo() 但是如果您想在您的站点上查看启用的协议。 Browse here 并输入您的网站地址。找到这个post here 。您也可以使用openssl 来检查是否存在 SSLv3。使用以下命令查看启用了哪些 SSL 协议

    openssl s_client -connect {SERVER_IP/DNS_NAME}:443

    要查看其他 promising tools,您可以 Google 并尝试一下。
    希望对您有所帮助!

    【讨论】:

      【解决方案2】:

      SSLProtocol All -SSLv2 -SSLv3 应该在 Apache 中禁用 SSL3。你可以在https://www.ssllabs.com/ssltest/index.html查看这个(和其他设置)

      【讨论】:

        猜你喜欢
        • 2015-10-15
        • 2014-12-22
        • 1970-01-01
        • 2014-12-13
        • 2014-08-11
        • 1970-01-01
        • 2014-12-24
        • 2014-06-21
        • 1970-01-01
        相关资源
        最近更新 更多