অ্যাপাচি httpd- র জন্য কীভাবে SSLv2 অক্ষম করবেন


8

আমি কেবল https://www.ssllabs.com/ এ আমার সাইটটি পরীক্ষা করেছি এবং এটি বলেছে যে এসএসএলভি 2 নিরাপত্তাহীন এবং দুর্বল সাইফার স্যুটগুলির সাথে আমারও এটি অক্ষম করা উচিত।

আমি কীভাবে এটি অক্ষম করতে পারি? আমি নিম্নলিখিত চেষ্টা করেছিলাম কিন্তু এটি কাজ করছে না।

  1. Ftp /etc/httpd/conf.d/ssl.confদ্বারা গিয়েছিলাম । যোগ করা হয়েছে

    SSLProtocol -ALL +SSLv3 +TLSv1
    SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    
  2. পুট্টি দ্বারা সার্ভারের সাথে সংযুক্ত হয়ে service httpd restartকমান্ড দিয়েছেন ।

তবে এখনও এটি সাইটে অনিশ্চিত দেখাচ্ছে। আমি কীভাবে এটি ঠিক করতে পারি? আমার সার্ভারটি প্লেস্ক 10.3.1 সেন্টোস। একই সার্ভারে 3-4 টি সাইট রয়েছে।


কয়েক বছর আগে এসএসএল শংসাপত্র পুনর্নবীকরণের সময় আমার সমস্যা হয়েছিল। অ্যাপাচি পুনরায় চালু হওয়ার পরেও নতুন কনফিগারেশন উপেক্ষা করা হয়েছিল। অ্যাপাচি বন্ধ করা তারপর অ্যাপাচি শুরু করা সমস্যার সমাধান করে।

@ এরিকডানিয়েলু - আমি পুরো সার্ভারটি পুনরায় চালু করেছি, এখনও ভাগ্য নেই
ইয়াহু

উত্তর:


10

এসএসএলপ্রোটোকল এবং এসএসএল সিফারসুয়েট লাইনগুলিকে এতে পরিবর্তন করুন,

SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

কনফিগারেশনটি কার্যকর হওয়ার জন্য আপনার অ্যাপাচি পুনরায় লোড করুন।

SSLHonorCipherOrder উপর সাইফারগুলির অনুক্রমে এটা নির্দিষ্ট করা চেষ্টা করবে।

উপরে কনফিগারেশন টিএলএস সংস্করণ বাদে ssllabs.com এ চেকটি পাস করে। আমার সেন্টস 6 কেবল ওপেনএসএসএল 1.0.0 এর কারণে টিএলএস 1.0 সমর্থন করে। ওপেনএসএসএল 1.0.1 টিএলএস 1.1 এবং 1.2 সমর্থন করে।

আপনার অ্যাপাচের সামনে কোনও লোড ব্যালেন্সার বা প্রক্সি রয়েছে?


আপনি উপরে উল্লিখিত রেখাগুলি আমি যুক্ত করেছি, তবে এখনও এটি কার্যকর হয় না। আমি যখন www.ssllabs.com এটি পরীক্ষা করি তখনও এটি সক্ষম করে তা দেখায়। আমি অ্যাপাচি` এর সামনে লোড ব্যালান্সার বা প্রক্সি সম্পর্কে অবগত নই, আমি এটি কীভাবে পরীক্ষা করতে পারি? আপনার যা জানা দরকার তা আমি আপনাকে জানাব।
ইয়াহু

যাইহোক আমি এটি চালানোর সময়, আমি একটি ত্রুটি পাই। সুতরাং এটি এটি অক্ষম বলে মনে হচ্ছে, তবে সাইটটি এটি দেখায় না। openssl s_client -ssl2 -connect localhost:443 CONNECTED(00000003) 21731:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: ]0;root@u15341216:~[root@u15341216 ~]#
ইয়াহু

এটি অন্য কোনও ব্যাকএন্ড অ্যাপ্লিকেশন থেকে আপনার লোডবালেন্সার বা প্রক্সি থেকে আসতে পারে। আপনার সেটআপ / আর্কিটেকচার সম্পর্কে খুব বেশি বিশদ ছাড়াই, এটি ডিবাগ করা শক্ত। কনফিগারেশনটি আমি উল্লেখ করেছি, আমার আপাশের জন্য কাজ করে যা এসএসএলকে সরাসরি পরিবেশন করে এবং ssllabs.com আমাকে 88 রেটিং দেয়
চিদা

সুতরাং আমি লোড ব্যালেন্সারটি অক্ষম করব, যদি এটি সিস্টেমে থাকে? এটি ইনস্টলড নেই কিনা আমি কীভাবে জানতে পারি?
ইয়াহু

যদি অ্যাপাচি পোর্ট *: 80 এ শোনে এবং আপনার সার্ভারের কাছে আপনার ওয়েবসাইটের সাথে সম্পর্কিত পাবলিক আইপি থাকে তবে কোনও লোডবালেন্সার নেই। রাউন্ড রবিনের জন্য ডিএনএস রেকর্ডও পরীক্ষা করে দেখুন।

3

আপনি এটি নিশ্চিত করতে চাইতে পারেন যে আপনার অ্যাপাচি কনফিগারেশনে কোথাও অন্য কোনও SSLProtocolবা SSLCiperSuiteনির্দেশনা নেই যা আপনি সবে যুক্ত করেছেন সেটিকে ওভাররাইড করছে।

যদি আপনি এটি খুঁজে না পান তবে সেই দুটিকে আপনার এসএসএল ভোস্টের পরিবর্তে যুক্ত করার চেষ্টা করুন ssl.conf। এটি নিশ্চিত করতে সহায়তা করবে যে সঠিক প্রয়োগগুলি সর্বশেষ প্রয়োগ হয়েছে।


ফাইলটিতে কোনও সদৃশ প্রবেশ নেই। আমি কীভাবে এসএসএল ভোস্টে চেক করতে পারি? এই ফাইলটি কোথায় রাখা হয়েছে? (এখানে আমি নতুন)
ইয়াহু

1
পুটি ব্যবহার করে, grep -r SSLProtocol /etc/httpdকোনও সদৃশ খুঁজে পাওয়া উচিত। এসএসএল ভোস্টের কথা, আমি জানি না প্লেস্ক তাদের কোথায় রেখেছিল তবে এটি সম্ভবত অন্য সমস্ত হোস্টের সাথেই থাকবে। জন্য একটি recursive, grep VirtualHost, SSLCertificateFileবা documentroot সম্ভবত কৌতুক করতে হবে।
লাদাদাদাদা

/var/www/vhosts/mydomain/conf/vhost_ssl.conf & /var/www/vhosts/mydomain/conf/vhost.conf আমি যে দুটি ফাইল যুক্ত করেছি SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMসেগুলিতে এখনও কাজ হচ্ছে না: /
ইয়াহু

0

সে আমার পক্ষে কাজ করেছিল

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"

আর একবার চেষ্টা কর.


আপনি কি প্লেস্ক ব্যবহার করছেন? আসল প্রশ্নে বর্ণিত আপনার পরিস্থিতি কীভাবে মেলে সে সম্পর্কে দয়া করে বিশদ দিন।
হরিণ হান্টার

-2

Centos6.x এ এসএসএল অক্ষম করতে নিম্নলিখিত কমান্ডটি চালান:

yum অপসারণ mod_ssl

তারপর

পরিষেবা httpd পুনরায় লোড

এসএসএল সক্ষম করতে আবার "Mod_ssl" প্যাকেজটি ইনস্টল করুন:

yum ইনস্টল mod_ssl

তারপর

পরিষেবা httpd পুনরায় লোড


আমি মনে করি ব্যবহারকারী কেবল এসএসএল ভি 2 অপসারণ করতে চেয়েছিলেন।
পল
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.