Wie kann ich die Sicherheitsanfälligkeit SSLv3 POODLE (CVE-2014-3566) patch / provisorisch umgehen?

158

Nach dem BEAST-Angriff und Heartbleed Bug , jetzt habe ich von einer neuen Sicherheitslücke in SSL / TLS gehört, die Pudel . Wie schütze ich mich davor, ausgebeutet zu werden?

  • Sind nur Server oder auch Clients betroffen?
  • Ist das OpenSSL / GnuTLS spezifisch?
  • Welche Art von Dienstleistungen sind betroffen? Nur HTTPS oder auch IMAPS, SMTPS, OpenVPN, etc.?

Zeigen Sie mir Beispiele, wie Sie diese Sicherheitsanfälligkeit vermeiden können.

    
gertvdijk 15.10.2014, 01:49
quelle

4 Antworten

210

Hintergrundinfo

SSL dient zur Sicherung des Transportlevels im Internet. Für "das Web" aka HTTP kennen Sie dies als HTTPS, aber es wird auch für andere Anwendungsprotokolle verwendet. SSLv2 war das erste weitverbreitete Transportsicherheitsprotokoll, wurde jedoch kurz darauf unsicher gefunden. Die Nachfolger SSLv3 und TLSv1 werden jetzt weitgehend unterstützt. TLSv1.1 und TLSv1.2 sind neuer und gewinnen auch viel Unterstützung. Die meisten, wenn nicht alle Web-Browser, die 2014 veröffentlicht wurden, unterstützen dies.

Die jüngste Entdeckung von Google-Ingenieuren weist darauf hin, dass SSLv3 nicht mehr verwendet werden sollte (wie SSLv2 vor langer Zeit als veraltet galt). Die Clients, die keine Verbindung zu Ihrer Website / Ihrem Dienst herstellen können, sind wahrscheinlich sehr eingeschränkt. CloudFlare hat angekündigt, dass sich noch immer weniger als 0,09% seiner Besucher darauf verlassen SSLv3.

Einfache Lösung: Deaktivieren Sie SSLv3.

Bietet Ubuntu ein Update?

Ja, über usn-2385-1 mit der zusätzlichen SCSV-Funktion > Es mindert das Problem jedoch nicht vollständig , da SSLv3 nicht deaktiviert wird und der Patch nur funktioniert, wenn beide Seiten der Verbindung gepatcht wurden. Sie erhalten es durch Ihre regelmäßigen Sicherheitsupdates in Ihrem Paketmanager.

Also, immer noch SIE müssen selbst Maßnahmen ergreifen, um SSLv3 zu deaktivieren (es ist konfigurierbar). Zukünftige Versionen von Clients / Browsern werden SSLv3 höchstwahrscheinlich deaktivieren. Z.B. Firefox 34 wird dies tun.

Das Deaktivieren von SSLv3 in Ubuntu auf der Implementierungsebene wird wahrscheinlich auch für die nicht-HTTPS-SSL-Nutzung, die nicht so anfällig ist, etwas kaputt machen, also nehme ich an, dass die Betreuer das nicht tun und nur dieser SCSV-Patch sein wird angewendet.

Warum wird das Problem nicht durch das SCSV-Update in OpenSSL über usn-2385-1 gemildert?

Ach, hör auf, solche Fragen zu stellen und überspringe einfach ein paar Absätze und deaktiviere SSLv3. Aber hey, wenn Sie nicht überzeugt sind, gehen Sie hier:

POODLE zeigt, dass SSLv3 mit CBC-Verschlüsselungen gebrochen ist, die Implementierung von SCSV ändert das nicht. SCSV stellt nur sicher, dass Sie nicht von irgendeinem TLS-Protokoll auf ein niedrigeres TLS / SSL-Protokoll herabstufen, wie es für den Man-in-the-Middle-Angriff für die üblichen Fälle erforderlich ist.

Wenn Sie auf einige Server zugreifen müssen, die kein TLS, aber nur SSLv3 anbieten, hat Ihr Browser keine andere Wahl und muss mit SSLv3 kommunizieren, der dann ohne Downgrade-Angriff angreifbar ist .

Wenn Sie auf einen Server zugreifen müssen, der auch TLSv1 + und SSLv3 anbietet (was nicht empfohlen wird) und sicherstellen möchten, dass Ihre Verbindung nicht von einem Angreifer auf SSLv3 heruntergestuft wird, dann beide den Server und der Client benötigt diesen SCSV-Patch.

Um das Problem vollständig zu beheben, genügt die Deaktivierung von SSLv3. Ihr Ende ist ausreichend und Sie können sicher sein, dass Sie nicht herabgestuft werden. Und Sie können nicht mit SSLv3-Servern kommunizieren.

Okay, wie deaktiviere ich SSLv3?

Siehe unten in den anwendungsspezifischen Abschnitten: Firefox, Chrome, Apache, Nginx und Postfix werden vorerst behandelt.

Sind nur Server oder auch Clients betroffen?

Die Sicherheitsanfälligkeit tritt auf, wenn sowohl der Server als auch der Client SSLv3 akzeptieren (auch wenn beide aufgrund eines Downgrade-Angriffs TLSv1 / TLSv1.1 / TLS1.2 unterstützen können).

Als Server-Administrator sollten Sie SSLv3 jetzt für die Sicherheit Ihrer Benutzer deaktivieren.

Als Benutzer sollten Sie SSLv3 in Ihrem Browser jetzt deaktivieren, um sich beim Besuch von Websites, die SSLv3 unterstützen, zu sichern.

Ist dieser OpenSSL / GnuTLS / Browser spezifisch?

Nein. Es ist ein Protokoll (Design) Bug, kein Implementierungsfehler. Dies bedeutet, dass Sie es nicht wirklich patchen können (es sei denn, Sie ändern das Design des alten SSLv3).

Und ja, es gibt eine neue OpenSSL-Sicherheitsfreigabe , aber lesen Sie weiter unten ( Aber ich wirklich, wirklich brauche SSLv3-Unterstützung ... aus Gründen X, Y, Z! ) warum du dich besser auf das Deaktivieren von SSLv3 konzentrieren solltest.

Kann ich SSLv3 auf Netzwerkebene (Firewall) abstürzen?

Nun ja, wahrscheinlich. Ich lege das in einem separaten Blogpost für weitere Gedanken und Arbeit. Wir könnten eine magische iptables Regel haben, die du benutzen kannst!

Mein Blogbeitrag: Wie kann SSLv3 in Ihrem Netzwerk mit iptables für POODLE abgebaut werden?

Ist es nur für HTTPS oder auch für IMAP / SMTP / OpenVPN und andere Protokolle mit SSL-Unterstützung relevant?

Der aktuelle Angriffsvektor funktioniert, wie von den Forschern gezeigt, mit der Steuerung des Klartexts, der an den Server gesendet wird, indem Javascript auf dem Computer des Opfers ausgeführt wird. Dieser Vektor gilt nicht für Nicht-HTTPS-Szenarien ohne Verwendung eines Browsers.

Normalerweise lässt ein SSL-Client auch nicht zu, dass die Sitzung auf SSLv3 heruntergestuft wird (TLSv1 + wird in den Handshake-Funktionen gesehen), aber Browser wollen sehr abwärtskompatibel sein, und das tun sie auch. Die Kombination mit dem Steuern von Klartext und die spezifische Art, wie ein HTTP-Header aufgebaut ist, macht es ausnutzbar.

Fazit: Deaktivieren Sie SSLv3 für HTTPS jetzt , deaktivieren Sie SSLv3 für andere Dienste in Ihrem nächsten Dienstfenster.

Was ist der Einfluss? Muss ich mein Serverzertifikat widerrufen und neu generieren? (Wie bei Heartbleed)

Nein, Sie müssen Ihre Zertifikate dafür nicht rotieren. Durch die Sicherheitsanfälligkeit wird die Plaintext-Wiederherstellung von den Sitzungsdaten ausgeschlossen. Sie bietet keinen Zugriff auf geheime Schlüssel (weder den Sitzungs- noch den Zertifikatsschlüssel).

Ein Angreifer ist wahrscheinlich nur in der Lage, die Plaintext-Header wie Session-Cookies zu stehlen, um Session-Hijacking durchzuführen. Eine zusätzliche Einschränkung ist die Notwendigkeit eines vollständigen (aktiven) MitM-Angriffs .

Gibt es noch etwas, was ich tun kann, um meine SSL-Konfiguration im Allgemeinen zu verbessern?

Als Benutzer, neben der Deaktivierung von SSLv3 in Ihrem Browser, nicht wirklich. Nun, installieren Sie immer die neuesten Sicherheitsupdates.

Folgen Sie für Server dem Mozilla TLS-Serverhandbuch . Und testen Sie mit Qualys SSL Labs-Test . Es ist wirklich nicht schwer, eine A + Bewertung auf Ihrer Website zu erhalten. Aktualisieren Sie einfach Ihre Pakete und implementieren Sie die Empfehlungen aus der Anleitung von Mozilla.

Aber ich brauche wirklich SSLv3 Unterstützung ... aus Gründen X, Y, Z! Was nun?

Nun, es gibt einen Patch, der den Downgrade-Angriff von TLSv1-fähigen Clients, den SSLv3-Fallback-Schutz, umgeht. Es wird übrigens auch die Sicherheit von TLSv1 + verbessern (Downgrade-Angriff ist schwieriger / unmöglich). Es wird als Backport von einer neueren OpenSSL-Version im Ubuntu Security Advisory usn-2385-1 angeboten .

Großer Haken: Sowohl Clients als auch Server benötigen diesen Patch, um zu funktionieren. Also, meiner Meinung nach, während Sie sowohl Clients als auch Server aktualisieren, sollten Sie trotzdem auf TLSv1 + upgraden.

Bitte, bitte, ziehen Sie einfach SSLv3 in Ihrem Netzwerk vorerst zurück. Bemüht euch, die Sicherheitsstandards zu aktualisieren und SSLv3 einfach zu entfernen.

Ich habe von der SCSV-Unterstützung gehört, um den Protokoll-Downgrade-Angriff zu eliminieren. Brauche ich es?

Nur wenn Sie wirklich SSLv3 aus irgendeinem Grund brauchen, aber es verbessert auch die Sicherheit in TLSv1 +, also ja, ich würde Ihnen empfehlen es zu installieren. Ubuntu bietet ein Update für diese Funktion in usn-2385-1 . Sie erhalten es durch Ihre regelmäßigen Sicherheitsupdates in Ihrem Paketmanager.

Test-Schwachstelle für privat gehostete Sites (z. B. Intranet / Offline).

Ihre Server sind anfällig, wenn sie SSLv3 unterstützen. Mehrere Optionen hier:

  • Mit OpenSSL s_client:

    openssl s_client -connect <server>:<port> -ssl3
    

    Wenn die Verbindung erfolgreich ist, ist sslv3 aktiviert. Wenn es fehlschlägt, ist es deaktiviert. Wenn es fehlschlägt, sollten Sie etwas sehen wie:

    error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
    
  • Verwenden von nmap :

    nmap --script ssl-enum-ciphers -p 443 myhostname.tld
    

    Es sollte ' SSLv3: No supported ciphers found ' ausgeben. Passen Sie für Ihren Hostnamen / Port an.

  • Verwenden Sie cipherScan . Clone / lade die Binärdatei herunter und führe sie aus:

    ./cipherscan myhostname.tld
    

    Es sollte nicht nichts mit SSLv3 in der Spalte 'protokolle' auflisten.

Firefox Browser

Öffnen Sie about:config , suchen Sie security.tls.version.min und setzen Sie den Wert auf 1 . Starten Sie dann Ihren Browser neu, um alle offenen SSL-Verbindungen zu löschen.

Firefox ab Version 34 deaktiviert SSLv3 standardmäßig und erfordert daher keine Aktion ( Quelle ). Im Moment des Schreibens ist 33 jedoch gerade veröffentlicht und 34 ist für den 25. November festgelegt.

Google Chrome (Linux)

Bearbeiten Sie die /usr/share/applications/google-chrome.desktop -Datei, z. B.

sudo nano /usr/share/applications/google-chrome.desktop

Bearbeiten Sie alle Zeilen , beginnend mit Exec= , um --ssl-version-min=tls1 einzufügen.

z. eine Zeile wie

Exec=/usr/bin/google-chrome-stable %U

wird

Exec=/usr/bin/google-chrome-stable --ssl-version-min=tls1 %U

Stellen Sie sicher, dass der Browser vollständig geschlossen ist (Chrome-Apps halten Ihren Browser möglicherweise im Hintergrund aktiv!).

Hinweis: Möglicherweise müssen Sie jedes google-chrome-Paketupdate wiederholen und diese .desktop Launcher-Datei überschreiben. Ein Google Chrome- oder Chromium-Browser mit standardmäßig deaktiviertem SSLv3 ist zum Zeitpunkt des Schreibens noch nicht angekündigt.

Apache HTTPD Server

Wenn Sie einen Apache-Webserver ausführen, der derzeit SSLv3 zulässt, müssen Sie die Apache-Konfiguration bearbeiten. Auf Debian- und Ubuntu-Systemen lautet die Datei /etc/apache2/mods-available/ssl.conf . Auf CentOS und Fedora ist die Datei /etc/httpd/conf.d/ssl.conf .Sie müssen Ihrer Apache-Konfiguration die folgende Zeile mit anderen SSL-Anweisungen hinzufügen.

SSLProtocol All -SSLv2 -SSLv3

Dies erlaubt alle Protokolle außer SSLv2 und SSLv3.

Wenn Sie schon dabei sind, sollten Sie in Erwägung ziehen, die Konfiguration der cipher suite für Ihren Webserver zu verbessern, wie auf Mozillas TLS-Server erklärt Anleitung . Fügen Sie zum Beispiel hinzu:

SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder     on
SSLCompression          off
# Read up on HSTS before you enable it (recommended)
# Header add Strict-Transport-Security "max-age=15768000"

Überprüfen Sie dann, ob die neue Konfiguration korrekt ist (keine Tippfehler etc.):

sudo apache2ctl configtest

Starten Sie den Server neu, z. B.

sudo service apache2 restart

Auf CentOS und Fedora:

systemctl restart httpd

Weitere Informationen: Apache-Dokumentation

Testen Sie es jetzt: Wenn Ihre Site öffentlich verfügbar ist, testen Sie sie mit dem Qualys SSL Labs-Tool .

Nginx-Server

Wenn Sie Nginx ausführen, fügen Sie einfach die folgende Zeile in Ihre Konfiguration zwischen den anderen SSL-Anweisungen ein:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Wenn Sie schon dabei sind, sollten Sie in Erwägung ziehen, die Konfiguration der cipher suite für Ihren Webserver zu verbessern, wie auf Mozillas TLS-Server erklärt Anleitung . Fügen Sie zum Beispiel hinzu:

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
# Read up on HSTS before you enable it (recommended)
# add_header Strict-Transport-Security max-age=15768000;

Starten Sie den Server neu, z. B.

sudo service nginx restart

Referenz: Nginx-Dokumentation

Testen Sie es jetzt: Wenn Ihre Website öffentlich verfügbar ist, testen Sie sie mit dem Qualys SSL Labs-Tool .

>

Lighttpd Webserver

Lighttpd-Versionen & gt; 1.4.28 unterstützen eine Konfigurationsoption, um SSLv2 und v3 zu deaktivieren. Lighttpd Releases vor 1.4.28 erlauben Ihnen, SSLv2 NUR zu deaktivieren. Bitte beachten Sie, dass Ubuntu 12.04 LTS und früher bestenfalls lighttpd v1.4.28 installieren und daher für diese Distributionen kein einfacher Fix verfügbar ist. Daher sollte dieses Update nur für Ubuntu-Versionen größer als 12.04 verwendet werden.

Für Ubuntu Version 12.04 oder Debian 6 ist ein aktualisiertes Lighttpd-Paket im openSUSE-Repository verfügbar: Pfandrecht

Das Paket ist für Debian 6 (squeeze) gedacht, funktioniert aber auch am 12.04 (precise)

Bearbeiten Sie Ihre /etc/lighttpd/lighttpd.conf , um die folgenden Zeilen nach der ssl.engine = "enable" -Direktive

hinzuzufügen
ssl.use-sslv2          = "disable"
ssl.use-sslv3          = "disable"

Dann sollten Sie den Lighttpd-Dienst mit sudo service lighttpd restart neu starten und einen ssl3-Handshake-Test durchführen, wie in den vorherigen Abschnitten beschrieben, um sicherzustellen, dass die Änderung erfolgreich implementiert wurde.

Entnommen aus Pfandrecht .

Postfix SMTP

Bei 'opportunistischem SSL' (die Verschlüsselungsrichtlinie wird nicht erzwungen und die Plain ist auch akzeptabel), müssen Sie nichts ändern. Selbst SSLv2 ist besser als normal. Wenn Sie also Ihren Server sichern müssen, sollten Sie trotzdem den 'obligatorischen SSL' Modus verwenden.

Wenn der Modus "obligatorische SSL" bereits konfiguriert ist, fügen Sie einfach die Einstellung smtpd_tls_mandatory_protocols für eingehende Daten hinzu oder ändern Sie sie Verbindungen und smtp_tls_mandatory_protocols für ausgehende Verbindungen:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3

Optional, wenn Sie SSLv3 auch für die opportunistische Verschlüsselung deaktivieren möchten (obwohl dies nicht notwendig ist, wie oben erklärt), tun Sie dies auch:

smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

und starte Postfix neu:

sudo service postfix restart

Sendmail

(Ungeprüfte Bearbeitung durch anonymen Benutzer, ich bin mit Sendmail nicht zufrieden, bitte überprüfen Sie dies.)

Diese Optionen sind im Abschnitt LOCAL_CONFIG Ihres sendmail.mc

konfiguriert
LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

Dovecot

Fügen Sie in Dovecot v2.1 + Ihrem /etc/dovecot/local.conf (oder einer neuen Datei in /etc/dovecot/conf.d ) Folgendes hinzu:

ssl_protocols = !SSLv2 !SSLv3

und starten Sie Dovecot neu:

sudo service dovecot restart

Bei älteren Versionen müssen Sie den Quellcode patchern .

>

Courier-imap (imapd-ssl)

Courier-imap erlaubt SSLv3 standardmäßig unter Ubuntu 12.04 und anderen. Sie sollten es deaktivieren und stattdessen STARTTLS verwenden, um TLS zu erzwingen. Bearbeiten Sie Ihre Konfigurationsdatei /etc/courier/imapd-ssl , um die folgenden Änderungen widerzuspiegeln

IMAPDSSLSTART=NO
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1
TLS_CIPHER_LIST="<take those from the Mozilla TLS Server guide!>"

HAProxy Server

SSL wird in HAProxy & gt; = 1.5 unterstützt.

Bearbeiten Sie die Datei /etc/haproxy.cfg und suchen Sie Ihre bind -Zeile. Füge no-sslv3 hinzu. Zum Beispiel:

bind :443 ssl crt <crt> ciphers <ciphers> no-sslv3

Referenz: HAProxy-Dokumentation

OpenVPN

scheint nicht betroffen zu sein ( Quelle ).

  

OpenVPN verwendet TLSv1.0 oder (mit & gt; = 2.3.3) optional TLSv1.2 und wird daher nicht von POODLE beeinflusst.

Puppe

Puppet verwendet SSL über HTTPS, wird aber nicht von Browser-Clients verwendet, sondern nur von Puppet-Agenten, die nicht anfällig für den angezeigten Angriffsvektor sind.Es ist jedoch die beste Vorgehensweise, SSLv3 einfach zu deaktivieren.

Ich empfehle, das Puppet-Modul stephenjohnson / puppetmodule zu verwenden, um den Puppet-Master einzurichten, in dem Ich habe SSLv3 vor einiger Zeit getötet.

    
gertvdijk 15.10.2014, 01:49
quelle
4

Möglicherweise nicht ubuntuspezifisch, aber um die Poodle-Schwachstelle in Node.js zu umgehen, können Sie secureOptions auf require('constants').SSL_OP_NO_SSLv3 setzen, wenn Sie einen https- oder tls-Server erstellen.

Siehe Pfandrecht für weitere Informationen

    
3rdEden 15.10.2014 10:59
quelle
0

Das "Fix" für Kurier deaktiviert tls 1.1 und tls 1.2. Es scheint keinen Weg zu geben, Kurier mit Tls 1.1 oder höher auszuführen. Ein PCI-Scan auf Ihrem Server kommt möglicherweise mit der Empfehlung zurück:

Konfigurieren Sie SSL / TLS-Server so, dass sie nur TLS 1.1 oder TLS 1.2 verwenden, sofern sie unterstützt werden. Konfigurieren Sie SSL / TLS-Server so, dass sie nur Cipher-Suites unterstützen, die keine Blockchiffren verwenden.

    
PrgWiz 27.02.2015 15:45
quelle
-1

Da POODLE Vulnerability ein Designfehler im Protokoll selbst und kein Implementierungsfehler ist, wird es keine Patches geben. Dies kann nur durch Deaktivieren von SSLv3 auf dem Apache-Server behoben werden. Fügen Sie die folgenden Zeilen in ssl.conf hinzu und führen Sie einen grazilen Apache-Neustart durch.

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
    
Lal Krishna 16.10.2014 00:55
quelle

Tags und Links