0

我在 Windows Server 2008 R2 上运行 Apache 2.4.9。

SERVER_SOFTWARE                          Apache/2.4.9 (Win32) PHP/5.5.12 OpenSSL/1.0.1g 
SSL_PROTOCOL                             TLSv1.2 
Registered Stream Socket Transports      tcp, udp, ssl, sslv3, sslv2, tls

我需要立即禁用 SSLv3 以防止Poodle 攻击。为此,我打开了文件\conf\extra\httpd-ssl.conf

然后我在其中添加了以下代码行

SSLProtocol All -SSLv2 -SSLv3

保存更改后,我重新启动了 Apache。

回来后,我查看了输出,phpinfo()但仍然可以看到以下内容

SSL_PROTOCOL TLSv1.2 注册流套接字传输 tcp、udp、ssl、sslv3、sslv2、tls

我在phpinfo()哪里检查 SSLv3 和 SSLv2 是否被禁用?

以下是我为确保正确执行此操作而采取的更多方法。我尝试添加这一行而不是其他命令(即。 SSLProtocol All -SSLv2 -SSLv3

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1.2

我什至尝试在 Apache24 目录中搜索包含单词“SSLProtocol”的任何文件,如下所示

C:\Apache24>findstr /s /i /p "SSLProtocol" *.*

这只找到2个文件

  1. httpd-ssl.conf
  2. 更改.txt

如何检查我的服务器上是否禁用了 SSLv3?如果尚未禁用,如何正确禁用它?

4

2 回答 2

0

SSLProtocol All -SSLv2 -SSLv3应该在 Apache 中禁用 SSL3。您可以在https://www.ssllabs.com/ssltest/index.html检查此(和其他设置)

于 2015-01-22T14:56:13.213 回答
0

SSLProtocol All -SSLv2 -SSLv3应该在您的 Apache 安装中禁用 SSLv3 协议。供参考
但是,我不确定phpinfo()您是否想在您的站点上查看启用的协议。浏览此处并输入您的站点地址。在此处找到此帖子。您也可以openssl检查是否存在 SSLv3。使用以下命令查看启用了哪些 SSL 协议

openssl s_client -connect {SERVER_IP/DNS_NAME}:443

要查看其他有前途的工具,您可以谷歌并尝试一下。
希望有帮助!

于 2015-01-21T18:25:33.167 回答