我们运行的是旧版本的Oracle HTTP Server(10.1.3.5)。
使用Chrome版本45,TLS 1.0回退被禁用,这使得我们所有的Oracle-APEX应用程序都通过OHS无法访问, 因为OHS仅支持TLS 1.0。
在博客条目(https://groups.google.com/a/chromium.org/forum/#!topic/security-dev/F6ZjP6FnyRE)中宣布删除TLS 1.0后备条件: "这不会破坏TLS 1.0服务器,只会错误地实现版本协商。"
现在我的问题: 如何正确配置OHS / Apache,它只与浏览器通信,它只支持TLS 1.0?
我们已经尝试将SSLProtoll和SSLCipherSuite明确设置为TLS1:
SSLProtocol -ALL +TLSv1
SSLCipherSuite TLSv1
但是使用这种配置,Apache并没有启动,因为OHS中使用的mod_ossl模块不支持SSLCipherSuite的别名TLSv1,如下所述 http://docs.oracle.com/cd/E28280_01/web.1111/e10144/directives.htm#CIHGCJAB
非常感谢任何帮助!!!
由于 鲁道夫
这是我们当前的ssl.config:
Listen 4459
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog builtin
SSLSessionCache shmcb:<path to ohs>logs/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLProtocol -ALL +TLSv1
SSLMutex file:<path to ohs>logs/ssl_mutex
<VirtualHost _default_:4459>
# General setup for the virtual host
DocumentRoot "<path to ohs>htdocs"
ServerName is-ora-10.noncd.rz.db.de
ServerAdmin you@your.address
ErrorLog <path to ohs>logs/error_log
TransferLog <path to ohs>logs/access_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
SSLWallet file:<path to ohs>conf/ssl.wlt/used_wallet
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
SSLOptions +StdEnvVars
</Files>
<Directory "<path to ohs>cgi-bin">
SSLOptions +StdEnvVars
</Directory>
SetEnvIf User-Agent "MSIE" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog <path to ohs>logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>
</IfDefine>