如何在apache上启用TLS_FALLBACK_SCSV

时间:2014-10-16 14:11:54

标签: apache security ssl

我在各种论坛上阅读POODLE中有SSLv3漏洞的内容。建议在服务器上禁用SSLv3并支持TLS_FALLBACK_SCSV

如何在TLS_FALLBACK_SCSV上启用对apache2.2的支持?

7 个答案:

答案 0 :(得分:22)

升级到最新版本的openssl,automatically supports TLS-FALLBACK-SCSV。 Apache将使用它。

来自https://www.openssl.org/news/secadv_20141015.txt

OpenSSL 1.0.1 users should upgrade to 1.0.1j.
OpenSSL 1.0.0 users should upgrade to 1.0.0o.
OpenSSL 0.9.8 users should upgrade to 0.9.8zc.

Debian和其他发行版正在OpenSSL上部署TLS-FALLBACK-SCSV更新的后端。

更新后重启Apache。

检查您的服务器

SSL Labs会检查您是否支持TLS_FALLBACK_SCSV

请注意https://www.ssllabs.com/ssltest/analyze.html?d=google.com&s=74.125.239.96&hideResults=on注释"支持TLS_FALLBACK_SCSV"

答案 1 :(得分:2)

据我了解,它不是Apache中的配置,而是openssl的行为。

  

OpenSSL已添加对TLS_FALLBACK_SCSV的支持以允许应用程序   阻止MITM攻击者强制执行协议的能力   降级。

https://www.openssl.org/news/secadv_20141015.txt

在Debian上,您可以升级openssl而无需升级libssl,您真的希望升级libssl。 Apache使用libssl。

答案 2 :(得分:2)

没有必要两者兼顾; TLS_FALLBACK_SCSV是一种防止降级攻击的机制,但如果您的服务器不允许SSLv3(或v2)连接则不需要(因为那些降级的连接不起作用)

编辑(以纳入反馈): 技术上,TLS_FALLBACK_SCSV在禁用SSL时仍然有用,因为它有助于避免将连接降级为TLS< 1.2。但这对于防御POODLE是没有必要的,因为易受攻击的SSLv3已关闭。

TLS_FALLBACK_SCSV对POODLE有用的唯一原因是你需要支持SSLv3客户端(真正的旧版IE或其他东西)。这些客户仍然容易受到攻击,但支持该选项的现代客户可以安全地抵御降级攻击。

答案 3 :(得分:2)

升级到实现TLS_FALLBACK_SCSV的最新OpenSSL包。然后在您的Apache配置中也禁用SSLv3。

SSLProtocol all -SSLv2  -SSLv3

'askubuntu'堆栈站点上的这个答案详细介绍了如何配置一堆不同服务器的答案。

  

https://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566

答案 4 :(得分:1)

我可以确认不需要在Apache上进行任何更改(至少对于Ubuntu 14.04)我在openssl更新后重新启动了Apache并且TLS_FALLBACK_SCSV正在运行。

答案 5 :(得分:1)

将以下行放在配置文件中,或替换以SSLProtocol开头的任何现有行: SSLProtocol All -SSLv2 -SSLv3

然后运行:$ sudo apache2ctl configtest && sudo service apache2 restart

您可以测试运行命令$ openssl s_client -connect <host>:<port> -ssl3

答案 6 :(得分:0)

TLS_EMPTY_RENEGOTIATION_INFO_SCSV是神奇的词。 有关详细信息,请参阅http://www.exploresecurity.com,其内容如下:

  

TLS_FALLBACK_SCSV是客户端中公布的虚假密码套件   您好,它启动SSL / TLS握手。 SCSV代表“信令   密码套房价值“。使用密码套件作为信号的想法是   不是新的:TLS_EMPTY_RENEGOTIATION_INFO_SCSV是客户可以的方式   宣传他们支持安全重新谈判(解决   CVE-2009-3555)

所以,最后,对于嵌入式Apache Server的Spring-boot项目,配置会显示如下:

server.ssl.enabled-protocols=TLSvx,TLSvx.y....
server.ssl.protocol=TLS
server.ssl.ciphers=TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_............TLS_EMPTY_RENAGOTIATION_INFO_SCSV 
server.server-header="Willi Wonka!"

PS - 要查看所有Spring-boot配置/属性,请访问:https://docs.spring.io

相关问题
最新问题