Отключение SSLv3, но все еще поддержка SSLv2Hello в Apache

Question

Отключение SSLv3, но все еще поддержка SSLv2Hello в Apache

Многие клиенты SSL, в частности JDK 6, используют протокол SSLv2Hello для установления связи с сервером. Использование этого протокола не означает, что вы используете SSL 2.0 или 3.0 в этом отношении; это просто рукопожатие, чтобы определить, какой протокол использовать. [ http://tools.ietf.org/html/rfc5246

Однако в Apache, если вы отключите поддержку SSLv3, это, очевидно, удалит поддержку протокола SSLv2Hello. Apache Tomcat имеет явную поддержку SSLv2Hello; то есть вы можете включить это, но не включить SSLv3.

Есть ли способ сделать это в Apache?

[Обновить]

Это мой протокол конфигурации:

  SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3

12

apache-2.2 java poodle

Источник

Matt Hughes 17 окт '14 в 18:57

2 ответа

Другие вопросы по тегам apache-2.2 java poodle

Chris S 20 окт '14 в 14:45 2014-10-20 14:45 · Answer 1 · 2014-10-20 14:45

Очевидно, что mod_ssl изменился за последний год или около того (я не нашел точную фиксацию источника, но нашел "проблему"). Источник теперь делает это:

If SSLProtocol only includes only one Protocol:
    Handshake = That Protocol's Handshake Only
Else
    Handshake = SSLv2 Handshake

Там нет переопределения для этого параметра. Единственное, что вы можете сделать, это отредактировать исходный код, перекомпилировать свою собственную версию. Я создал diff для обеспечения совместимости SSLv2 Handshake, если вы хотите скомпилировать свой собственный.

Matt Hughes 22 окт '14 в 13:25 2014-10-22 13:25 · Answer 2 · 2014-10-22 13:25

Таким образом, оказывается, что это не было проблемой все время. Apache примет рукопожатие SSLv2 с любой из конфигураций, которые я опубликовал выше. Я был введен в заблуждение ошибкой рукопожатия, полагая, что это проблема; на самом деле это была просто проблема конфигурации, когда сервер не доверял CA клиента.