我在Windows Server 2008 R2上运行Apache 2.4.9。
SERVER_SOFTWARE Apache/2.4.9 (Win32) PHP/5.5.12 OpenSSL/1.0.1g
SSL_PROTOCOL TLSv1.2
Registered Stream Socket Transports tcp, udp, ssl, sslv3, sslv2, tls
我需要立即禁用SSLv3以阻止Poodle attacks。为此,我打开了文件\conf\extra\httpd-ssl.conf
然后我向它添加了以下代码行
SSLProtocol All -SSLv2 -SSLv3
保存更改后,我重新启动了Apache。
回来后,我查看了phpinfo()的输出,但我仍然可以看到以下内容
SSL_PROTOCOL TLSv1.2 已注册的流套接字传输tcp,udp,ssl,sslv3,sslv2,tls
我检查的phpinfo()是否已禁用SSLv3和SSLv2?
以下是我为确保正确执行此操作而采取的更多方法。
我尝试添加此行而不是其他命令(即。
SSLProtocol All -SSLv2 -SSLv3)
SSLHonorCipherOrder On
SSLProtocol -All +TLSv1.2
我甚至试图搜索任何包含单词" SSLProtocol"在Apache24目录中如此
C:\Apache24>findstr /s /i /p "SSLProtocol" *.*
这只发现了2个文件
如何检查我的服务器上是否禁用了SSLv3? 如果它尚未禁用,如何正确禁用它?
答案 0 :(得分:0)
SSLProtocol All -SSLv2 -SSLv3应该在您的Apache安装中禁用SSLv3协议。For reference。
我不确定phpinfo()但是如果您想查看您网站上启用的协议。 Browse here并输入您的网址。发现此post here 。您也可以使用openssl来检查SSLv3的缺失情况。使用以下命令查看启用了哪些SSL协议
openssl s_client -connect {SERVER_IP / DNS_NAME}:443
要查看其他promising tools您可以Google并尝试一下。
希望有所帮助!
答案 1 :(得分:0)
SSLProtocol All -SSLv2 -SSLv3应该在Apache中禁用SSL3。您可以在https://www.ssllabs.com/ssltest/index.html