查看thc-ssl-dos,只会启用启用重新协商的SSL启用网站。
我一直在检查几个服务器,并有以下问题;
第一; 在我的Apache安装中,重新协商是默认禁用的,所以在什么情况下我可以启用它?
其次; 我有一个有几个虚拟主机的开发盒,我怎么能启用它(只对默认网站),所以我可以testing这种攻击的有效性? 我在Debian上运行apache2。
谢谢。
SSL / TLS重新协商是默认启用的,但许多Linux发行版都发布了禁用重新协商的修补版本的Apache。 您需要检查Apache发行版的版本号和更新日志。
假设您正在使用禁用重新协商的版本,则可以通过在您的apacheconfiguration中设置SSLInsecureRenegotiation on来重新启用它。
运行OpenSSL 0.9.8l或更低版本的Apache 2.2.15或更高版本会禁用客户端启动的重新协商,无法打开它。
在Apache 2.2.15或更高版本中使用OpenSSL 0.9.8m时,有几件事情正在进行:
SSLInsecureRenegotiation On指令不支持新标准的客户端可以重新启用。 从我在这个问题上所做的小小的挖掘,我不清楚在使用中的重新谈判types(新的“安全”types还是旧标准)是否对攻击是否成功有影响 – 它可能工作只是在一个或另一个,或两者兼而有之。
至于需要启用的场景,我认为客户端证书authentication是主要的用例。