Как отключить SSLv2 и SSLv3 в ssl.conf Apache на CENTOS 6.5?
Стандартным решением для этого является использование внешнего сервера, который отправляет запросы соответствующему «реальному» серверу, обычно на основе имени хоста. Это называется обратным прокси . Nginx очень часто используется для этого. Начните с учебного пособия .
Вот как выглядит конфигурация ( /etc/nginx/nginx.conf ) обратного прокси с двумя бэкэндами:
server {
server_name java-app.example.com;
proxy_pass http://localhost:8000/;
}
server {
server_name python-app.example.com;
proxy_pass http://localhost:8080/;
}
Конечно, есть много других опций, которые могут быть полезны .
Поскольку вы не предоставили конкретные версии, технически невозможно дать окончательный ответ, но это лучший инструмент, который я знаю для настройки SSL в Интернете. Серверы - это Генератор SSL-конфигураций Mozilla . Я не могу улучшить то, что предоставляет этот инструмент, поэтому лучше, если вы воспользуетесь им самостоятельно.
Из это вики-страница :
Безопасность / TLS на стороне сервера
Цель этого документа - помочь оперативным группам с настройка TLS на серверах. [выделено мной] Все сайты Mozilla и развертывание следует следовать приведенным ниже рекомендациям.
Группа оперативной безопасности (OpSec) поддерживает этот документ как справочное руководство по навигации по TLS. Он содержит информацию о протоколах TLS, известных проблемах и уязвимостях, настройке примеры и инструменты тестирования. Изменения проверяются и объединяются Команда OpSec и транслировалась различным оперативным группам.
...
Исходя из вашего заявленного желания отключить SSLv2 и SSLv3, вы, вероятно, захотите «промежуточную» конфигурацию для своих версий Apache и OpenSSL.
Также есть несколько интересных замечаний о параметрах SSL, таких как размер ключа Диффи-Хеллмана. Если вы используете слишком маленький ключ DH, более поздние версии OpenSSL и современные браузеры могут отказаться подключаться к вашему сайту, даже если доступны другие комплекты шифров, отличных от DH.