Вопросы Теги

Не удается отключить SSLv3 на Amazon Linux Instance

Я использую SSL-сертификат, выданный Go Daddy. На моем Linux Instance следующие детали программного обеспечения :-

  • Apache Версия - Apache/2.4.16 (Amazon)
  • Openssl Версия - OpenSSL 1.0.2c 12 Jun 2015
  • mod_ssl версия - mod_ssl-2.4.2

Примечание :- Я устанавливаю Apache из RPM пакета и позже я устанавливаю mod_ssl и openssl из исходного кода.

1) Проблема в том, что когда я отключаю SSLv3 и тестирую SSL сервер с https://www.ssllabs.com/ssltest/ он выдает мне предупреждение, что "этот сервер не поддерживает TLSv1.2, который является лучшим на данный момент" и когда я включаю протокол TLSv1.2 тот же тест предупреждает меня о "Этот сервер поддерживает протокол SSLv3 и уязвим для атаки Poodle". Как отключить SSLv3 и включить TLSv1.2 одновременно на сервере? Текущая конфигурация моего файла Vhost относительно SSL такова: 

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder     on

2) Я не могу создать сильную группу Диффи-Хеллмана. Текущая 1024-битная группа Diffie-Hellman и хочу создать 2048-битную группу для сайта. Я выдаю эту команду для генерации 2048-битного ключа:- 

openssl dhparam -out dhparams.pem 2048

и моя конфигурация в VHost такова: 

SSLOpenSSLConfCmd DHParameters /etc/httpd/dhparams.pem

когда я перезапускаю сервер, появляется сообщение об ошибке:

Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration

Как решить эту проблему?

0
23.11.2015, 08:44
0 ответов

Теги

Похожие вопросы