在 Apache 2.2.x 中禁用 SSL/TLS 压缩

tag-icon tag-icon apache-2.2 security ssl tls mod-ssl
在 Apache 2.2.x 中禁用 SSL/TLS 压缩

使用 mod_ssl 时,有没有办法禁用 Apache 2.2.x 中的 SSL/TLS 压缩?

如果没有,那么人们正在采取什么措施来减轻旧版浏览器中 CRIME/BEAST 的影响?

相关链接:

  1. https://issues.apache.org/bugzilla/show_bug.cgi?id=53219
  2. https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512
  3. https://security.stackexchange.com/questions/19911/crime-how-to-beat-the-beast-successor

答案1

您可以使用SSLCompression off如果你使用的是 2.2.24 或更高版本

如果没有,您可以设置OPENSSL_NO_DEFAULT_ZLIB环境变量以在 OpenSSL 中强制关闭压缩 - 请参阅这个问题

相关内容