Отключили SSLv3 на Apache, но все еще используете его для отправки на другие сайты?

Question

Отключили SSLv3 на Apache, но все еще используете его для отправки на другие сайты?

Я следовал инструкциям для CentOS 6 по отключению SSL v3 в Apache (2.2.15, не уверен, насколько это важно), но он отключает его только для входящих клиентов, а не для исходящих запросов (например, для authorize.net для кредитной карты). сделок). Мне трудно найти какие-либо инструкции, кроме того, что, кажется, просто отключить его для клиентов.

Я отредактировал /etc/httpd/conf.d/ssl.conf и изменил эту строку:

SSLProtocol all -SSLv2 -SSLv3

Я перезапустил Apache, но когда я запускаю исходящий запрос, кажется, что SSLv3 все еще, возможно, используется (я показываю только то, что кажется наиболее релевантным для этой проблемы; вы можете попробовать посмотреть полный вывод):

# openssl s_client -connect google.com:443

New, TLSv1/SSLv3, Cipher is blah blah blah

SSL-Session:
Protocol  : TLSv1.2
Cipher    : blah blah blah
more blah blah blah

Start Time: 1414621669
Timeout   : 300 (sec)
Verify return code: 0 (ok)

Я неправильно читаю или мне нужно что-то еще, чтобы сервер вообще не переключался на SSLv3 при отправке запросов?

-1

apache-2.2 ssl poodle

Источник

Davicus 29 окт '14 в 22:31

1 ответ

Другие вопросы по тегам apache-2.2 ssl poodle

MLu 29 окт '14 в 23:23 2014-10-29 23:23 · Answer 1 · 2014-10-29 23:23

Выясните, что делает исходящие SSL-запросы. Это какой-то код PHP? Или какой-нибудь Java-код? Или какой-нибудь код на Python? Что бы это ни было, вам придется настроить параметры SSL/TLS в подходящем месте для вашего кода. Почти наверняка это не Apache, вам нужно настроить здесь.

Также следует помнить об атаке понижения SSL, которая может использоваться для принудительного понижения соединения TLS до SSLv3, чтобы включить атаку Poodle. Вам нужно будет обновить OpenSSL, чтобы отключить эту атаку понижения.