我正在尝试更新运行CentOs 6.4的testing服务器的SSL设置,但更新SSL密码套件后,apache将无法启动。
configuration文件位置: /etc/httpd/conf.d/ssl.conf 。
以root身份重新启动命令: service httpd restart
本来(作品):
SSLProtocol -all +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP
更新(不起作用):
SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXP
我启用了httpd LogLevel进行debug ,下面是我看到的。
[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [info] Init: Seeding PRNG with 256 bytes of entropy [info] Init: Generating temporary RSA private keys (512/1024 bits) [info] Init: Generating temporary DH parameters (512/1024 bits) [info] Init: Initializing (virtual) servers for SSL (stops here)
我检查了这个服务器上的虚拟主机configuration,它只是有一个生产服务器的configuration文件的副本。 我不确定是否相关。
任何想法如何解决这个问题? 在附注中,是否需要更新SSLProtocol和SSLCipherSuite ?
SSLCipherSuite ALL:!ADH:RC4 + RSA:+ HIGH:+ MEDIUM:!LOW:!SSLv2:!SSLv3:!EXP
禁用SSLv2和SSLv3密码套件可以有效地禁用SSL 2.0,SSL 3.0,TLS 1.0和TLS 1.1所需的所有密码套件,因为TLS 1.0和TLS 1.1未定义任何新的密码套装。 由于CentOS 6.4只包括OpenSSL 1.0.0,它不支持TLS1.2,所以你完全没有使用密码。
请限制POODLE修复程序到SSLProtocol并保留密码。 POODLE的问题在密码中不是缺陷,而是在协议本身中。