Можно ли установить SSLProtocol в Apache для одного VirtualHost (пудель)?

Question

Можно ли установить SSLProtocol в Apache для одного VirtualHost (пудель)?

Я пытаюсь проверить исправление для уязвимости пуделя, которая включает отключение SSLv3 на моем веб-сервере. Чтобы протестировать это в непроизводственной среде, я устанавливаю SSLProtocol на VirtualHost для другого тестового сервера. Мой конфиг выглядит примерно так:

<VirtualHost *:443>
    SSLEngine On
    SSLProtocol All -SSLv2 -SSLv3
    ServerName test.mysite.com
    # bunch of other stuff omitted
</VirtualHost>

Однако даже после перезапуска apache мой тестовый сайт все еще считается уязвимым. Ожидается ли это работать? Мне интересно, должен ли я установить его в глобальной конфигурации ssl или есть что-то еще тонкое, что приводит к тому, что настройка не работает и / или не работает.

15

apache-2.2 ssl apache-2.4 virtualhost

Источник

Cory 15 окт '14 в 22:45

4 ответа

Решение

Вы можете иметь разные протоколы SSL для каждого Vhost, если они прослушивают разные IP.

Пример с конкретным хостом, разрешающим TLSv1, а все остальные разрешают только TLSv1.1 и TLSv1.2 - и один, допускающий только TLSv1.2:

<VirtualHost *:443>
  SSLEngine On
  SSLProtocol All -SSLv2 -SSLv3 -TLSv1
  ServerName test.mysite.com
  # bunch of other stuff omitted
</VirtualHost>

<VirtualHost 10.0.0.2:443>
  SSLEngine On
  SSLProtocol All -SSLv2 -SSLv3
  ServerName test2.mysite.com
</VirtualHost>

<VirtualHost 10.0.0.3:443>
  SSLEngine On
  SSLProtocol TLSv1.2
  ServerName test2.mysite.com
</VirtualHost>

5

Источник

BitLegacy01 27 апр '16 в 07:30

Если вы используете указатель имени сервера (SNI) с вашим vhost, вы не можете определить несколько версий SSL.

Однако, если вы используете выделенный сервер, вы, вероятно, сможете добавить другой IP-адрес на ваш сервер. Таким образом, вы сможете использовать другую версию SSL для каждого IP. Вам просто нужно изменить настройки Vhost, как ожидается, IP:443.

0

Источник

tryp 27 апр '16 в 06:39

Или вы можете использовать:

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

Я был проверен на многих серверах и работает на меня! Вы можете проверить свой сайт на этом сайте

-1

Источник

Rodrigo Moreno 20 окт '14 в 07:00

Другие вопросы по тегам apache-2.2 ssl apache-2.4 virtualhost

vallismortis 12 июн '15 в 03:33 2015-06-12 03:33 · Accepted Answer · 2015-06-12 03:33

Вы можете установить SSLProtocol только для первого VirtualHost в файле конфигурации. Все последующие записи VirtualHost будут наследовать эту настройку от первой записи и молча игнорировать свои собственные настройки из-за ошибки OpenSSL.

Существует соответствующий отчет об ошибке для mod_ssl, но, как описано в отчете об ошибке, проблема должна быть решена в OpenSSL (сертификат наследуется, но не протоколы).

Наборы шифров должны быть установлены независимо для каждого VirtualHost, в противном случае вы получите список по умолчанию, включая множество незащищенных шифров. Также имейте в виду, что старые клиенты, которые не поддерживают указание имени сервера (SNI), всегда будут использовать хост по умолчанию (если не заблокированы с помощьюSSLStrictSNIVHostCheck), что может запутать ваше тестирование.

Короче говоря, вы должны иметь возможность указывать настраиваемые наборы шифров и сертификаты для каждого виртуального хоста, но до тех пор, пока ошибка не будет исправлена, не ожидайте правильного поведения с настраиваемыми протоколами для каждого виртуального хоста.

Я столкнулся с этой проблемой с Apache 2.4 и modssl с OpenSSL 1.0.1k, и я ожидаю, что Apache 2.2 будет подвержен тем же проблемам.

Обновление (октябрь 2016 г.): ошибка OpenSSL была помечена как исправленная 13 октября 2016 г. Однако она была частью массового закрытия открытых проблем, и хотя было предоставлено "частичное исправление", проблема так и не была полностью устранена.

Обновление (апрель 2018 года). Повторно отправленная ошибка OpenSSL теперь имеет исправление (по состоянию на 9 апреля 2018 года). Этот патч изменит поведение экземпляров Apache, настроенных с несколькими виртуальными хостами SNI:

Отклонить соединения, не соответствующие vhost SSLProtocol
Это было разработано и протестировано с 2.4.27 и в производстве с этой версией. Патч был модифицирован для 2.4.33 и слегка протестирован.
Это проверяет версию соединения по SSLProtocol, настроенному для виртуального хоста, который сопоставляется на основе SNI. Поскольку соединение первоначально устанавливается с SSLProtocol, настроенным для хоста по умолчанию для порта, хост по умолчанию должен включать все протоколы, которые будут поддерживаться любым виртуальным хостом.
Этот патч добавляет дополнительный статус возврата APR_EMISMATCH к функции init_vhost, чтобы обратный вызов ssl_callback_ServerNameIndication, зарегистрированный в OpenSSL, мог возвращать фатальное предупреждение SSL_AD_PROTOCOL_VERSION. Это предназначено для получения того же ответа на ClientHello, что и с указанным SSLProtocol, который не включает данную версию. Поскольку обратный вызов SNI вызывается во время обработки ClientHello и до получения ответа, кажется, он делает именно это.

Если вы вдруг видите сообщения следующего формата:

Rejecting version [version] for servername [hostname]

Тогда вы должны перепроверить SSLProtocol для вашего хоста по умолчанию.