Tout le monde semble parler de la vulnérabilité POODLE aujourd'hui. Et tout le monde recommande de désactiver SSLv3 dans Apache à l'aide de la directive de configuration suivante:
SSLProtocol All -SSLv2 -SSLv3
au lieu de la valeur par défaut
SSLProtocol All -SSLv2
Je l'ai fait, et pas de joie - après avoir testé à plusieurs reprises avec divers outils ( voici un rapide ), je trouve que SSLv3 est heureusement accepté par mon serveur.
Oui, j'ai redémarré Apache. Oui, j'ai fait un grep
récursif sur tous les fichiers de configuration, et je n'ai aucun remplacement nulle part. Et non, je n'utilise pas une ancienne version d'Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Alors, qu'est-ce qui donne? Comment peut-on vraiment désactiver SSLv3 dans Apache?
J'ai eu le même problème ... Vous devez inclure SSLProtocol all -SSLv2 -SSLv3
dans chaque strophe VirtualHost dans httpd.conf
Les strophes VirtualHost se trouvent généralement vers la fin du fichier httpd.conf. Ainsi, par exemple:
...
...
<VirtualHost your.website.example.com:443>
DocumentRoot /var/www/directory
ServerName your.website.example.com
...
SSLEngine on
...
SSLProtocol all -SSLv2 -SSLv3
...
</VirtualHost>
Vérifiez également ssl.conf ou httpd-ssl.conf ou similaire car ils peuvent y être définis, pas nécessairement dans httpd.conf
J'ai eu le même problème sur Ubuntu 14.04. Après avoir lu ceci, j'ai édité la section "SSLProtocol" dans /etc/Apache2/mods-available/ssl.conf
.
SSLProtocol all
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
Mais ça n'a pas marché. J'ai donc édité la section suivante aussi "SSLCipherSuite" dans /etc/Apache2/mods-available/ssl.conf
.
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
Et maintenant ça marche maintenant pour moi.
Soit dit en passant, les suites de chiffrement ne sont pas affectées par POODLE, uniquement le protocole - mais la plupart des navigateurs acceptent une suite de chiffrement SSLv3 désactivée.
Ne l'utilisez pas pour un Mailserver! Ou vous serez (peut-être) confronté au problème de ne pas pouvoir récupérer vos courriels sur certains appareils.
Pour Ubuntu 10.04
Pour désactiver SSLv3 sur tous les vhosts actifs, vous avez besoin de l'option dans
/ etc/Apache2/mods-available/ssl.conf:
SSLProtocol all -SSLv2 -SSLv3
J'ai eu un problème similaire ce matin et j'ai trouvé un autre virtualhost activant SSLv3, donc le serveur entier répond aux connexions SSLv3.
Assurez-vous donc qu'aucun de vos hôtes n'a SSLv3 actif.
Assurez-vous que SSLCipherSuite ne contient pas contient! SSLv3. Dans ce contexte, il fait également référence à TLS1.0 et TLS1.1.
Par exemple, si votre configuration est SSLProtocol All, seul TLS1.2 sera disponible en raison de la configuration de SSLCipherSuite avec! SSLv3.
La méthode que vous utilisez est pour la nouvelle version d'Apache et Openssl. Il est possible que leur nouvelle version ne soit pas installée sur votre système, vérifiez la version installée actuelle.
Depuis SSLv2
et SSLv3
les deux sont vulnérables à certaines attaques, il serait donc préférable d'utiliser uniquement TLS. Modifiez donc votre fichier de configuration Apache comme suit,
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
ou
SSLProtocol TLSv1
Pour les utilisateurs CentOs ayant des difficultés à modifier votre fichier de configuration SSL via SSH, essayez de désactiver SSLv3 via WHM :
Étape 1: accédez à l'éditeur d'inclusion
-Connectez-vous à WHM -Ouvrez l'écran "Configuration Apache", et cliquez sur "Inclure l'éditeur"
Étape 2: Modifier les inclusions
-Sous "Pre Main Include", sélectionnez "Toutes les versions". De cette façon, votre serveur sera protégé si vous changez votre version d'Apache. Une fois sélectionné, entrez ce qui suit dans la zone de texte:
Sur CentOS/RHEL 6.x:
SSLHonorCipherOrder On
SSLProtocol -All + TLSv1 + TLSv1.1 + TLSv1.2
Sur CentOS/RHEL 5.x:
SSLHonorCipherOrder On
SSLProtocol -All + TLSv1
… Puis cliquez sur Mettre à jour .
Une fois que vous avez cliqué sur Mettre à jour, vous serez invité à redémarrer Apache; faites-le en ce moment.
source d'origine: https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/
J'ai eu un problème similaire et j'ai vérifié que j'avais tous les paramètres Apache appropriés corrects.
Cependant, ce qui m'a manqué, c'est que j'avais nginx comme proxy inverse devant Apache. Il se trouve que j'utilise également Plesk et que cela vient de leur Guide des correctifs POODLE :
Si vous exécutez Nginx, incluez la ligne suivante dans votre configuration parmi les autres directives SSL dans le
/etc/nginx/nginx.conf
:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;