我有一台运行 Apache 2.2.16 的服务器。我在服务器上运行 VA 扫描程序。根据 VA 报告,建议关闭 SSL/TLS 压缩。我尝试在 Google 上搜索,但没有找到任何有用的信息。有人能告诉我如何在不升级版本的情况下在 Apache 2.2.16 中将其关闭吗?
答案1
有时,即使使用最新版本的 Apache,如果当前的 openssl 库不够新,服务器也会返回以下错误:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration.
在这种情况下,您可以在启动 Apache httpd 服务器之前禁用压缩并导出以下变量:
export OPENSSL_NO_DEFAULT_ZLIB=1
我发现建议这里:
答案2
您必须至少升级到版本 2.2.24 才能执行此操作。
从 2.2.24 版开始,您可以使用以下指令在服务器级别或单个虚拟主机上禁止 SSL 压缩:
SSLCompression off
因此,对于单个虚拟主机,您可以像这样禁止它:
<VirtualHost *:443>
ServerName "my.example.com"
DocumentRoot "/var/www/html"
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
SSLCompression off # disallow for this vhost
SSLCertificateFile /etc/ssl/my.example.com.crt
SSLCertificateKeyFile /etc/ssl/my.example.com.key
</VirtualHost>
答案3
我没有足够的积分来点赞或评论其他回复,所以我会在这里附和一下。正如 Mathias 所说,您至少需要 2.2.24 才能禁用压缩。
SSLCompression off
请注意,它才不是在 2.2.25 中的 virtualhost 指令中工作,正如我的服务器刚刚吐出的那样:
This version of openssl does not support configuring compression within <VirtualHost> sections.
但是,它在主 httpd.conf 文件中运行良好,并且能够影响整个服务器。