【问题标题】:Disable SSL 2.0 but not SSL 2.0+ updated? Apache 2.x禁用 SSL 2.0 但未更新 SSL 2.0+?阿帕奇 2.x
【发布时间】:2012-01-10 22:27:24
【问题描述】:

背景:我在我现在管理使用的专用服务器 (linux) 上运行了安全检查:https://www.ssllabs.com/ssldb/index.html。它说我的 SSL 协议是:

协议

- TLS 1.2  No
- TLS 1.1  No
- TLS 1.0  Yes
- SSL 3.0  Yes
- SSL 2.0+ Yes upgrade support
- SSL 2.0  Yes INSECURE

我将向服务器添加 SSL 证书,所以我想我应该在那里修复它。我是网络托管管理的新手,所以解释对我很有用。

我的问题:首先什么是 SSL 2.0+ 升级支持?其次,我可以禁用 SSL 2.0 而不是禁用 SSL2.0+ 吗?我的 Apache 2.x 目前的 SSLCipherSuite 设置为:

SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

如果我把它改成

SSLCipherSuite All:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:-SSLv2:+EXP:+eNULL

它会实现我的目标吗?

提前致谢! (第一次发帖!)

【问题讨论】:

    标签: linux ssl apache2


    【解决方案1】:

    您将SSL 2.0+ upgrade support 误认为不是。

    这意味着服务器支持旧的 SSL 2.0 风格的握手,后来扩展为允许以旧的 2.0 风格启动连接,但让客户端指定它真的想要谈论 SSL 3.0反正。 It is not a security issue and you can leave it enabled as long as you intend to provide SSL 3.0 support.

    此外,这整件事不是关于密码套件,而是关于协议版本。

    To leave everything Apache supports enabled except SSL 2.0, use: SSLProtocol all -SSLv2

    【讨论】:

    【解决方案2】:

    首先什么是 SSL 2.0+ 升级支持? 我发现 SSL 2.0+ 只是 SSL 2.0 但支持正确处理重新协商漏洞。

    其次,我可以禁用 SSL 2.0 而不是禁用 SSL 2.0+ 吗? 简单的回答:不知道。 SSL2.0+ 甚至没有在评估的网站文档中定义。据我所知,SSL 2.0+ 只是天气的一个指示,openssl 有能力处理修复了重新协商漏洞的更新。

    将 SSLCipherSuite 更改为关闭 SSLv2 将实现我关闭 SSL 2.0 INSECURE 的目标,但它也会关闭 SSL 2.0+。

    【讨论】:

      猜你喜欢
      • 2021-03-08
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-09-08
      • 2012-11-30
      • 2015-04-01
      • 1970-01-01
      相关资源
      最近更新 更多