我按照 CentOS 6 的说明禁用了 Apache 中的 SSL v3(2.2.15,不确定这有多重要),但它似乎只对传入客户端禁用它,而不是对传出请求(例如对 authorize.net 进行信用卡交易)禁用它。除了似乎只是为客户端禁用它之外,我很难找到任何其他说明。
我编辑了 /etc/httpd/conf.d/ssl.conf 并修改了此行:
SSLProtocol all -SSLv2 -SSLv3
我重新启动了 Apache,但是当我运行传出请求时,似乎 SSLv3 仍可能被使用(我仅显示与此问题最相关的内容;您可以自己尝试查看完整的输出):
# openssl s_client -connect google.com:443
New, TLSv1/SSLv3, Cipher is blah blah blah
SSL-Session:
Protocol : TLSv1.2
Cipher : blah blah blah
more blah blah blah
Start Time: 1414621669
Timeout : 300 (sec)
Verify return code: 0 (ok)
我读错了吗?或者我需要做其他什么来防止服务器在发送请求时完全回退到 SSLv3?
答案1
弄清楚是什么引发了出站 SSL 请求。是一些 PHP 代码吗?还是一些 Java 代码?还是一些 Python 代码?无论它是什么,您都必须在代码的适当位置配置 SSL/TLS 选项。几乎可以肯定,您需要在此处配置的不是 Apache。
还要注意 SSL 降级攻击,该攻击可能用于强制将 TLS 连接降级到 SSLv3 以启用 Poodle 攻击。您必须更新 OpenSSL 才能禁用此降级攻击。