在我的 Ubuntu 14.04 服务器上禁用 SSLv3 和 SSLv2 协议

我最近在我的服务器上安装了 SSL 证书。然后我尝试了此工具在我的服务器上测试我新安装的 SSL 证书，看看是否没有问题。

事实证明它有问题SSL 3协议，并称该协议不安全，因为容易受到 POODLE 攻击。

该页面建议禁用 SSL 3 来缓解此问题。

因此我在互联网上搜索如何在 Apache 2.4 服务器上禁用 *SSLv3 和 SSLv2**。

我发现有几个教程说...禁用SSLv3 和 SSLv2在我的装有 Apache 2.4 的 Ubuntu 14.04 服务器上，我必须编辑SSLProtocol all里面所有文件的所有实例/etc/apache2，并将其更改为SSLProtocol all -SSLv2 -SSLv3。

我已经完成以下操作，但 SSL Lab 的 SSL 服务器测试工具仍然报告相同的问题。

已将其添加到我的所有 vhost 和所有具有以下内容的配置文件中SSLProtocol...

SSLProtocol all -SSLv2 -SSLv3

关于我的服务器设置

在我的服务器上，我已经设置磅代理和Varnish 缓存。

我这样做是因为 Varnish 无法使用 HTTPS 进行操作，因此我设置了磅并使用 Varnish 作为其后端。

设置工作正常，Varnish 正在 HTTPS 上缓存。

我的 SSL 证书已正确安装，我已使用 Digicert 和 SSL Labs 的在线工具确认了这一点。

与以下设备一起使用的 SSL Pem 文件磅包含从.key、.crt和中提取的信息CA.pem。

我的服务器详细信息

以下是有关我的服务器的一些详细信息。它上面托管一个 Wordpress 实例，正在生产中。

端口

• Apache - 端口 8080

• 阿帕奇ports.conf和sites-available/myvhost.conf-

  <IfModule mod_ssl.c>
      Listen 9443
  

• 阿帕奇

• Varnish 后端-端口 8080
• 清漆.vcl-DAEMON_OPTS =“-a：80”
• Pound 监听端口 443，配置如下ListenHTTPS

服务器配置使用塔克斯莱特，我从以下页面下载了它：

https://github.com/Mins/TuxLite

LSB 释放输出：

Distributor ID: Ubuntu
Description:    Ubuntu 14.04.2 LTS
Release:    14.04
Codename:   trusty

Apache 输出：

Server version: Apache/2.4.7 (Ubuntu)
Server built:   Mar 10 2015 13:05:59
Server's Module Magic Number: 20120211:27
Server loaded:  APR 1.5.1-dev, APR-UTIL 1.5.3
Compiled using: APR 1.5.1-dev, APR-UTIL 1.5.3
Architecture:   64-bit
Server MPM:     event
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/etc/apache2"
 -D SUEXEC_BIN="/usr/lib/apache2/suexec"
 -D DEFAULT_PIDLOG="/var/run/apache2.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="mime.types"
 -D SERVER_CONFIG_FILE="apache2.conf"

磅输出：

starting...
Version 2.6
  Configuration switches:
    --enable-cert1l
Exiting...

清漆版本：

varnishd (varnish-4.0.3 revision b8c4a34)
Copyright (c) 2006 Verdens Gang AS
Copyright (c) 2006-2014 Varnish Software AS

如何在我的服务器上禁用 SSLv2 和 SSLv3 协议？

更新

我已在文件中插入以下条目/etc/pound/pound.cfg：

ListenHTTPS
    ...
    Cert "---"
    Ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:-RC4:EECDH+aRSA+RC4:EECDH+RC4:EDH+aRSA+RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:RC4+SHA"
    ....

现在我得到了CSSL 实验室的等级。

SSL 3 不安全握手模拟错误IE6 / XP。