POODLE 密码 !SSLv3 = 协议或密码套件不匹配

POODLE 密码 !SSLv3 = 协议或密码套件不匹配

根据:公告:Pound - 反向代理和负载均衡器 - v2.7d / Robert Segall,添加了以下增强功能:

- added "Disable PROTO" directives (fix for Poodle vulnerability)

我的系统:

[root@6svprx01 ~]# uname -a
Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux
[root@6svprx01 ~]# rpm -q Pound
Pound-2.6-2.el6.x86_64
[root@6svprx01 ~]# grep Ciphers /etc/pound.cfg
    Ciphers    "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM"
[root@6svprx01 ~]#

... 为了解决 POODLE SSLv3,我添加!SSLv3到了Ciphers

然而,在使用Qualys SSL Labs - Projects / SSL Server Test进行测试时,我进入Protocol or cipher suite mismatchHandshake Simulation

有没有办法解决这个问题没有升级到 Pound v2.7d(测试版)然后使用新指令?

答案1

可以使用goochjj/pound at pcidss/v2.6分支,即 Pound 2.6,加上(最初)通过 PCI 合规性所需的密码和协议补丁,其中一部分是禁用 SSL3 的指令。

# grep DisableSSL /etc/pound.cfg
    DisableSSLv3
    DisableSSLv2
# 

* 更新 *

DisableSSLv3似乎unknown directive使用未修补的,在里面Version 2.6使用。-SSLv3:-SSLv2Ciphers

答案2

@alexus 的上述回答对我来说非常有效。这里添加一些额外的注释,以防其他人像我一样遇到这个页面。对于这种特定的问题组合,似乎没有很多好的指导。

1) 原始问题的原因是,未修补版本的 Pound 在添加到时会禁用所有 SSLv3 密码!SSLv3。TLSCiphers主要依赖于相同的密码,如果没有它们,TLS 就无法正常工作。

2) 当您尝试./configure在@alexus 链接中的修补版本上运行旧版本的 GCC 时,它会给出错误,因为它无法识别该-Wno-unused-result标志。我手动删除了它,之后一切似乎都运行正常。

3)指令进入块DisableSSLv3内部(指令旁边)ListenHTTPspound.cfgCiphers

相关内容