httpd 无法使用更新的 SSLCipherSuite (POODLE) 启动

httpd 无法使用更新的 SSLCipherSuite (POODLE) 启动

我正在尝试更新运行 CentOs 6.4 的测试服务器的 SSL 设置,但是在更新 SSL 密码套件后,apache 无法启动。

配置文件位置:/etc/httpd/conf.d/ssl.conf

以 root 身份重新启动命令:service httpd restart

原本(作品):

SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP

已更新(无效):

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXP

LogLevel我启用了 httpd debug,下面是我所看到的内容。

[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[info] Init: Seeding PRNG with 256 bytes of entropy
[info] Init: Generating temporary RSA private keys (512/1024 bits)
[info] Init: Generating temporary DH parameters (512/1024 bits)
[info] Init: Initializing (virtual) servers for SSL
(stops here)

我检查了此服务器上的虚拟主机配置,它只包含生产服务器配置文件的副本。我不确定这是否相关。

知道如何解决这个问题吗?顺便问一下,是否需要同时更新SSLProtocolSSLCipherSuite

答案1

SSLCipherSuite 全部:!ADH:RC4+RSA:+高:+中:!低:!SSLv2:!SSLv3:!EXP

禁用 SSLv2 和 SSLv3 密码套件实际上会禁用 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1 所需的所有密码套件,因为 TLS 1.0 和 TLS 1.1 没有定义任何新的密码套件。由于 CentOS 6.4 仅包含 OpenSSL 1.0.0,尚不支持 TLS1.2,因此您实际上根本没有密码。

请限制 POODLE 修复的范围SSLProtocol,不要影响密码。POODLE 的问题不是密码的缺陷,而是协议本身的缺陷。

相关内容