在我的Ubuntu 14.04服务器上禁用SSLv3和SSLv2协议

我最近在我的服务器上安装了SSL证书。 然后我尝试了这个工具来testing我的服务器上新安装的SSL证书，看看是否没有问题。

事实certificate， SSL 3协议存在一个问题，即由于POODLE攻击的脆弱性而导致它不安全。

该页面build议禁用SSL 3以缓解它。

所以我search了如何在Apache 2.4服务器上禁用* SSLv3和SSLv2 **。

• 该网站正在使用过时的安全设置，这可能会阻止未来版本的Chrome能够安全地访问它 – 即使使用SHA2也是如此
• 如何禁用ssl虚拟主机上的catch-all
• Android上Facebook上的SNI（SSL）支持内置浏览器
• 我的SSL证书是否与对称会话密钥有关？
• 在CentOS 7 Apache 2上使用HTTPS Index.html而不是ProxyPass反向代理站点时

我发现了几个教程，说…要在我的Ubuntu 14.04服务器上使用Apache 2.4来禁用SSLv3和SSLv2 ，我必须在/etc/apache2所有文件上编辑所有SSLProtocol all实例，并将其更改为SSLProtocol all -SSLv2 -SSLv3 。

我已经完成了以下工作，但SSL实验室的SSL服务器testing工具仍报告相同的问题。

已经添加到我所有的虚拟主机和所有的SSLProtocolconfiguration文件…

 SSLProtocol all -SSLv2 -SSLv3 

关于我的服务器设置

在我的服务器上，我已经安装了磅代理与清漆caching 。

我这样做是因为Varnish不能使用HTTPS来完成它，所以我设置了Pound并使用Varnish作为后端。

设置工作正常，清漆在HTTPScaching。

我的SSL证书安装正确，我已经确认使用Digicert和SSL实验室的在线工具。

与Pound一起使用的SSL Pem文件包含从.key ， .crt和CA.pem提取的信息。

我的服务器细节

以下是关于我的服务器的一些细节。 它主持一个单一的WordPress的实例，它正在生产。

端口

• Apache – 在端口8080上

• Apache ports.conf和sites-available/myvhost.conf –

   <IfModule mod_ssl.c> Listen 9443 

• 阿帕奇

• 清漆后端 – 端口8080
• Varnish .vcl – DAEMON_OPTS =“ – a：80”
• Pound监听端口443，使用ListenHTTPSconfiguration

服务器使用Tuxlite进行configuration ，我从以下页面下载：

 https://github.com/Mins/TuxLite 

LSB释放输出：

 Distributor ID: Ubuntu Description: Ubuntu 14.04.2 LTS Release: 14.04 Codename: trusty 

Apache输出：

 Server version: Apache/2.4.7 (Ubuntu) Server built: Mar 10 2015 13:05:59 Server's Module Magic Number: 20120211:27 Server loaded: APR 1.5.1-dev, APR-UTIL 1.5.3 Compiled using: APR 1.5.1-dev, APR-UTIL 1.5.3 Architecture: 64-bit Server MPM: event threaded: yes (fixed thread count) forked: yes (variable process count) Server compiled with.... -D APR_HAS_SENDFILE -D APR_HAS_MMAP -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled) -D APR_USE_SYSVSEM_SERIALIZE -D APR_USE_PTHREAD_SERIALIZE -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT -D APR_HAS_OTHER_CHILD -D AP_HAVE_RELIABLE_PIPED_LOGS -D DYNAMIC_MODULE_LIMIT=256 -D HTTPD_ROOT="/etc/apache2" -D SUEXEC_BIN="/usr/lib/apache2/suexec" -D DEFAULT_PIDLOG="/var/run/apache2.pid" -D DEFAULT_SCOREBOARD="logs/apache_runtime_status" -D DEFAULT_ERRORLOG="logs/error_log" -D AP_TYPES_CONFIG_FILE="mime.types" -D SERVER_CONFIG_FILE="apache2.conf" 

英镑输出：

 starting... Version 2.6 Configuration switches: --enable-cert1l Exiting... 

清漆版本：

 varnishd (varnish-4.0.3 revision b8c4a34) Copyright (c) 2006 Verdens Gang AS Copyright (c) 2006-2014 Varnish Software AS 

我怎么能在我的服务器上禁用SSLv2和SSLv3协议？

UPDATE

我在/etc/pound/pound.cfg文件中插入了以下条目：

 ListenHTTPS ... Cert "---" Ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:-RC4:EECDH+aRSA+RC4:EECDH+RC4:EDH+aRSA+RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:RC4+SHA" .... 

现在我在SSL实验室获得了C级。

SSL 3 IE6 / XP的不安全握手模拟错误。