我被要求从 Solaris 上运行的 apache 禁用 TLS1.0(在 SSLV3 上)。我是基础设施方面的新手。我做了一些谷歌搜索,他们中的大多数人在 ssl.conf 文件中谈论类似 SSLProtocol all -TLSv1 但是,当我转到 /etc/apache2/ssl.conf 文件时,没有为 SSLProtocol 定义任何设置。是不是因为没有为 SSLProtocol 定义设置,所以所有 tls 版本都被允许?另外,我应该在 ssl.conf 文件中的哪里添加 SSLProtocl 设置?非常感谢所有回复
问问题
737 次
1 回答
0
转到 apache 的文件夹,然后运行:
grep -iRl "SSLProtocol" ./
然后,如果您找到包含它的文件,请将其更改为以下内容,或者如果您没有找到任何内容,请打开 ssl.conf,并在以 开头的行之后添加此行SSL:
SSLProtocol -all +TLSv1.2
如果你的 openssl 版本在 1.1.1 以上(openssl version用来检查),如果你的 apache 版本在 2.4.36 以上(httpd -v用来检查),那么你也可以使用 TLSv1.3。如果您在没有上述版本要求的情况下使用它,那么您将收到一条错误消息Illegal Protocol。因此,如果您有上述要求,您可以使用:
SSLProtocol -all +TLSv1.2 +TLSv1.3
另外,我对您提到的 SSLv3 感到困惑。即使您愿意,也不能使用 SSLv3。检查https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/。
于 2020-03-13T05:29:19.237 回答