我有一个运行 Apache 2.2.22 和 mod_ssl 和 OpenSSL v1.0.1 的 Ubuntu 12.04.2 LTS 服务器。
在我的虚拟主机配置(一切在其中表现为我所期望的),我有SSLProtocol跟线-all +SSLv3。
通过这种结构,TLS 1.1和1.2都启用并正确的工作-这是反直觉和我说话,我会认为只有SSLv3的将被启用考虑到的配置。
我可以很好地启用/禁用 TLSv1 -/+TSLv1,并且它按预期工作。但是+/-TLSv1.1并且+/-TLSv1.2不是有效的配置选项 - 所以我不能那样禁用它们。
至于我为什么要这样做 - 我正在处理一个第三方应用程序(我无法控制),它在启用 TLS 的服务器上有一些错误行为,我需要完全禁用它才能继续前进。
SSLCertificateFile和SSLCertificateKeyFile指令的 Apache mod_ssl 文档指出,“强烈不鼓励”将私钥和 SSL 证书存储在同一文件中。
现在显然私钥文件应该保持安全,但假设是这种情况,将证书存储在同一文件中是否存在任何特定风险?我很想知道为什么支持这种行为,但在没有解释的情况下强烈劝阻。
有没有办法在使用 mod_ssl 时在 Apache 2.2.x 中禁用 SSL/TLS 压缩?
如果不是,人们正在做些什么来减轻旧浏览器中 CRIME/BEAST 的影响?
相关链接:
我正在尝试使用 mod_proxy SSLCACertificatePath 指令,但我对如何正确使用它有点困惑。
这里有两个解释 SSLCACertificatePath 指令的链接:
http : //httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath
http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13
我对如何创建散列符号链接并不乐观。第二个链接声明使用 apache make 文件,但我对那里所说的内容一无所知。
任何友好的指导将不胜感激。
感谢您的时间。
更新
我的问题的目标是弄清楚如何处理多个 CA 以验证最终用户客户端证书。我没有意识到一个文件中可以使用多个 pem 证书,在我的情况下,这显然是前进的正确方法。
我刚刚在https://www.ssllabs.com/上测试了我的网站,它说 SSLv2 不安全,我应该禁用它以及弱密码套件。
我怎样才能禁用它?我尝试了以下但它不起作用。
/etc/httpd/conf.d/ssl.conf通过ftp去了。添加
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
通过腻子连接到服务器并发出service httpd restart命令。
但它仍然在网站上显示不安全。我该如何解决?我的服务器是 Plesk 10.3.1 CentOS。同一台服务器上有 3-4 个站点。
我们在 Ubuntu 12.04 上运行 Apache 2.2.22。
SSL 已配置并启用,这些指令位于/etc/apache2/mods-enabled/ssl.conf:
SSLSessionCache shm:/var/www/apache-ssl-cache/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex file:/var/www/apache-ssl-cache/ssl_mutex
SSL 似乎有效。即使在 Windows XP 上的 IE8 中,我们也可以通过 HTTPS 访问该站点。但是,我们不确定 SSL 会话缓存是否真的正常工作。
我们在我们的虚拟主机的日志中看到了很多这些 INFO 级别的消息:
[info] [client <censored>] (70007)The timeout specified has expired: SSL input filter read failed.
或者
[info] [client <censored>] (70014)End of file found: SSL input filter read failed.
或者
[info] [client <censored>] (70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
PRNG 播种似乎也经常发生。不幸的是,似乎不可能可靠地判断 PRNG 是为哪个分叉的 apache …
PCI 合规性扫描建议我们禁用 Apache 的 MEDIUM 和 LOW/WEAK 强度密码以确保安全。有人能告诉我如何禁用这些密码吗?
Apache v2.2.14 mod_ssl v2.2.14
这是他们告诉我们的:
概要:远程服务支持使用中等强度的 SSL 密码。描述:远程主机支持使用提供中等强度加密的 SSL 密码,我们目前将其视为密钥长度至少为 56 位且小于 112 位的密码。解决方案:如果可能,重新配置受影响的应用程序以避免使用中等强度的密码。风险因素:中等 / CVSS 基础评分:5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [更多]
概要:远程服务支持使用弱 SSL 密码。描述:远程主机支持使用提供弱加密或根本不加密的 SSL 密码。另请参阅:http : //www.openssl.org/docs/apps/ciphers.html解决方案:如果可能,重新配置受影响的应用程序以避免使用弱密码。风险因素:中等 / CVSS 基础评分:5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [更多]
在我的 Apache 配置中,我有以下几行:
SSLRandomSeed connect builtin
SSLRandomSeed connect file:/dev/random
SSLRandomSeed connect file:/dev/urandom 1024
Apache 如何解释这一点?它是否首先尝试内置,然后/dev/random在失败时转向?如果它使用/dev/random,/dev/random然后用完熵,它会自动切换到/dev/urandom吗?是否有一个 Apache 文档可以解释所有这些?
Ubuntu 14.04 Apache 2.4.7 w/mod_ssl
我正在尝试安装(单个)域证书。出于某种原因,如果启用了相关网站,apache 不接受它并拒绝启动。尽管大量谷歌搜索,我无法理解错误消息。为什么说没有配置证书?它设置在虚拟主机中,并指向正确位置的 crt 文件。
错误日志
[Tue May 19 18:11:08.123857 2015] [ssl:emerg] [pid 10040:tid 140146576725888] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] ((null):0)
[Tue May 19 18:11:08.123894 2015] [ssl:emerg] [pid 10040:tid 140146576725888] AH02312: Fatal error initialising mod_ssl, exiting.
我尝试过的:
这是虚拟主机
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerName www.domain.tld
RedirectMatch (.*) https://domain.tld$1
</VirtualHost>
<VirtualHost _default_:443>
ServerAdmin admin@localhost
ServerName domain.tld
DocumentRoot /home/user/www/domain.tld/public
# SSL CERTIFICATES
SSLEngine on
SSLCertificateFile …在我的虚拟主机中,我有类似的东西:
SSLEngine on
SSLCertificateKeyFile /etc/apache2/ssl/svn.XXXXX.me.key
SSLCertificateFile /etc/apache2/ssl/svn.XXXXX.me.crt
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
SSLVerifyClient require
SSLCACertificateFile /etc/ssl/certs/ICA-Standart.0
到目前为止,我可以使用CA“ICA-Standart.0”颁发的任何证书登录,但我想指定一种白名单,只允许某些证书登录,可以吗?
如果是这样,我应该查看哪个指令?
另请注意,CA 是公共证书颁发机构。
mod-ssl ×10
apache-2.2 ×9
ssl ×7
tls ×2
apache-2.4 ×1
centos ×1
certificate ×1
entropy-pool ×1
openssl ×1
pci-dss ×1
security ×1
web-server ×1