前言:SSLv3漏洞(CVE-2014-3566),SSL3.0版本被視爲是不安全的。它使用RC4加密或CBC模式加密,前者易受誤差攻擊,後者會致使POODLE攻擊,在生產環境中,常常會掃描到此漏洞,針對此漏洞,須要apache服務器端停用SSLv3協議。apache
環境準備瀏覽器
理解SSL和TLS:http在數據傳輸過程當中使用的是明文,爲了解決這個問題https應運而生,ssl就是基於https的加密協議。當ssl更新到3.0版本後,IETF(互聯網工程任務組)對ssl3.0進行了標準化,標準化後的協議就是TLS1.0,因此說TLS是SSL的標準化後的產物,TLS當前有1.0 ,1.1,1.2三個版本,默認使用1.0,到此咱們對ssl和TLS有了一個基本的瞭解。安全
web服務器支持TLS1.2須要的服務器運行環境:服務器
Apache對應版本應>=2.2.23;OpenSSL對應版本應>= 1.0.1
查看當前服務器apache版本
微信
[]Server version: Apache/2.4.29 (Unix)Server built: Jan 22 2018 16:51:25
openssl版本app
[root@host-192-168-149-10 conf.d]# openssl versionOpenSSL 1.0.1e-fips 11 Feb 2013
[]{ "overdue" : false, "success" : true, "errorCode" : null, "message" : "請求成功", "data" : { "global" : { "copyright" : "功能清單",}
apache默認支持SSLv3,TLSv1,TLSv1.1,TLSv1.2協議
(注:ssl功能須要在http.conf中啓用LoadModule ssl_module modules/mod_ssl.so)
apache默認配置以下
SSLProtocol All -SSLv2
進入目錄/usr/local/apache/conf/extra
vi修改ssl.conf按照以下配置,目的是關閉sslv3協議
SSLEngine onSSLProtocol all -SSLv2 -SSLv3SSLProtocol TLSv1.2
配置保存後,須要service httpd restart重啓apache使配置生效
再次測試sslv3訪問,沒法訪問
[root@host-192-168-149-10 conf.d]# curl --sslv3 https://cs.df230.xyz/test/api/configs/fedch/alcurl: (35) SSL connect error
經過google瀏覽器F12進入開發模式,能夠看到瀏覽器訪問當前域名使用的ssl協議爲TLS1.2。
至此,漏洞整改完成,so easy!
—— E N D ——
文字:原創
掃描二維碼 | 關注咱們
公衆號 : 運維之美
本文分享自微信公衆號 - 運維之美(ywzm8976)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。