SSLv3 অক্ষম করা হচ্ছে তবে এখনও অ্যাপাচে SSLv2 হেলো সমর্থন করে

অনেক এসএসএল ক্লায়েন্ট, উল্লেখযোগ্যভাবে জেডিকে 6, সার্ভারের সাথে হ্যান্ডশেক করার জন্য এসএসএলভি 2 হেলো প্রোটোকল ব্যবহার করে। এই প্রোটোকলটি ব্যবহার করার অর্থ এই নয় যে আপনি সেই বিষয়ে SSL 2.0 বা 3.0 ব্যবহার করছেন; কোন প্রোটোকল ব্যবহার করবেন তা নির্ধারণ করা কেবল একটি হ্যান্ডশেক । [ http://tools.ietf.org/html/rfc5246#appendix-E.2]

তবে, অ্যাপাচে, আপনি SSLv3 সমর্থন অক্ষম করলে, এটি স্পষ্টতই SSLv2 হেলো প্রোটোকলের সমর্থন সরিয়ে দেয়। অ্যাপাচি টমকেটের এসএসএলভি 2 হেলোর পক্ষে সুস্পষ্ট সমর্থন রয়েছে; এটি হল, আপনি এটি সক্ষম করতে পারেন তবে এসএসএলভি 3 সক্ষম করতে পারবেন না।

আপাচে এটি করার কোনও উপায় আছে কি?

[হালনাগাদ]

এটি আমার প্রোটোকল কনফিগারেশন:

  SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3

apache-2.2 java poodle

— ম্যাট হিউজেস
সূত্র

However, in Apache, if you disable SSLv3 support, this apparently removes support for the SSLv2Hello protocol. আমি অ্যাপাচি ২.২ চালাচ্ছি SSLProtocol all -SSLv2 -SSLv3এবং এসএসএল 2 হ্যান্ডশেক কাজ করে। আপনি কোন কনফিগারেশনটি চালাচ্ছেন যা আপনার ঠিক সমস্যা হচ্ছে। এসএসএল 2 হ্যান্ডশেকটি অক্ষম করার একমাত্র উপায় হ'ল ফেডারেশন মোড সক্ষম করা।

— ক্রিস এস

কি ব্যাথা 2014 সালে :( যে লিগ্যাসি সমর্থন হ্যান্ডেল করতে এটা সময় সবাই SSLv2 & SSLv3 nuke এবং সার্বজনীন এক্সটেনশন সমর্থন (যেমন sni) করতে

— জেভিয়ার লুকাস

@ জাভিয়ারলুকাস অল-এসএসএলভি 2, -এসএসএলভি 3 করার পরিবর্তে আমি যে টিএলএস প্রোটোকলকে সমর্থন করি তা নির্দিষ্ট করে দিই। আমি দেখতে পাচ্ছি না কেন এটি আলাদা হবে তবে আমি পরীক্ষা করব।

— ম্যাট হিউজেস

@ ক্রিসস আমি উভয়ই চেষ্টা করেছি: এসএসএলপ্রোটোকল + টিএলএসভি 1 + টিএলএসভি 1.1 + টিএলএসভি 1.2 -এসএসএলভি 3 এবং সমস্ত-এসএসএলভি 3-এসএসএলভি 2। এটি অ্যাপাচি ২.৪.১০ নিয়ে চলছে। কোনও কনফিগারেশন এসএসএল 2 হ্যান্ডশেকের অনুমতি দেয় না। এবং আমি এফএআরসি মোড স্পর্শ করি নি; ডিফল্ট হ'ল এটি অক্ষম।

— ম্যাট হিউজেস

উত্তর:

স্পষ্টতই Mod_ssl গত বছরে বা তার পরে পরিবর্তিত হয়েছে (উত্সটির সাথে আমি সঠিক প্রতিশ্রুতি পাইনি, তবে "সমস্যা" পেয়েছি)। উত্স এখন এটি করে:

If SSLProtocol only includes only one Protocol:
    Handshake = That Protocol's Handshake Only
Else
    Handshake = SSLv2 Handshake

এই সেটিংটির জন্য কোনও ওভাররাইড নেই। আপনি যা করতে পারেন তা হ'ল উত্সটি সম্পাদনা করা, নিজের সংস্করণটি পুনরায় সংকলন করা। আমি তৈরি করেছি পরিবর্তন SSLv2 হ্যান্ডশেক সামঞ্জস্য বলপূর্বক যদি আপনার নিজস্ব কম্পাইল করতে চান।

— ক্রিস এস
সূত্র

আমি নিশ্চিত করতে পারি, ক্রিসের প্যাচটি সহায়তা করে - কার্ল (এবং লিবকরল-ব্যবহারযোগ্য প্রোগ্রামগুলি যেমন গিট) কোনও এসএসভিভি অক্ষম থাকা সত্ত্বেও এখন আবার আমাদের সার্ভারের সাথে কথা বলতে পারে - sslscanকোনও দুর্বলতা চিহ্নিত না করে। তবে প্যাচটি কিছুটা আক্রমণাত্মক বলে মনে হচ্ছে এবং আমি ক্রিসকে এটিএসপি পর্যালোচনার জন্য অ্যাপাচি প্রকল্পে জমা দেওয়ার জন্য বলতে চাই। আমি নিজেই একটি টিকিট ফাইল করব, ক্রিস না করলে :-) আপনাকে অনেক ধন্যবাদ, ক্রিস!

— মিখাইল টি।

সামঞ্জস্যতা মোডে চাপ দেওয়ার জন্য পৃথক নির্দেশিকা যুক্ত করা আরও ভাল ধারণা হবে। আমার যদি কিছুটা অতিরিক্ত সময় থাকে তবে আমি এটি লিখব, তবে আমি মনে করি না এই "প্যাচ" দীর্ঘকালীন একটি ভাল ধারণা।

— ক্রিস এস

হ্যাঁ, এটি অ্যাপাচি বিকাশকারীরা কী বিবেচনা করছেন তা বলে মনে হচ্ছে। [থ্রেড] দেখুন [1] আমি সেখানে শুরু করেছি ... [1] মেল

— মিখাইল টি।

সুতরাং দেখা যাচ্ছে যে এটি সমস্ত ক্ষেত্রে অ-ইস্যু ছিল। অ্যাপাচি আমি উপরে পোস্ট করা কনফিগারেশনের সাথে SSLv2 হ্যান্ডশেক গ্রহণ করবে। এই বিষয়টি ভাবতে ভাবতে আমি একটি হ্যান্ডশেক ত্রুটি দ্বারা বিভ্রান্ত হয়েছিল; এটি সত্যিই কেবল একটি কনফিগারেশন সমস্যা ছিল যেখানে সার্ভার ক্লায়েন্টের সিএতে বিশ্বাস করে না।

— ম্যাট হিউজেস
সূত্র