use*_*000 5 apache ssl openssl ssl-certificate
在现代浏览器中,我的网站被标记为sorta不安全:
例如谷歌浏览器The server does not support the TLS renegotiation extension在"页面信息"中说" ".
HTTPS运行正常,连接已加密且证书有效.
# openssl version
OpenSSL 0.9.8g 19 Oct 2007
# cat /etc/debian_version
5.0.6
# apache2ctl -V
Server version: Apache/2.2.9 (Debian)
Server built: Apr 20 2010 21:44:40
Server's Module Magic Number: 20051115:15
Server loaded: APR 1.2.12, APR-Util 1.2.12
Compiled using: APR 1.2.12, APR-Util 1.2.12
Architecture: 64-bit
Server MPM: ITK
threaded: no
forked: yes (variable process count)
Server compiled with....
-D APACHE_MPM_DIR="server/mpm/experimental/itk"
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=128
-D HTTPD_ROOT=""
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="/etc/apache2/mime.types"
-D SERVER_CONFIG_FILE="/etc/apache2/apache2.conf"
我正在使用dotdeb存储库进行LAMP设置,因此Apache 2.2.9.
我的服务器配置有问题吗?
或者使用的证书有问题吗?
我应该在哪里开始追踪问题?
根据Debian更改日志,您使用的是apache2软件包版本2.2.9-10 + lenny8(最新版本可用于Lenny),于2010年4月20日生成.版本2.2.9-10 + lenny6引入了快速修复问题(CVE-2009-3555):
拒绝任何客户端启动的SSL/TLS重新协商.这是TLS重新协商前缀注入攻击(CVE-2009-3555)的部分修复.任何需要为每个目录/位置访问控制进行重新协商或使用"SSLVerifyClient可选"的配置仍然容易受到攻击.
因此,您应该禁用SSLVerifyClient optionalin Directory或Location指令.
TLS重新协商扩展(RFC 5746),SSLVerifyClient optional更广泛地解决了这个问题,是在OpenSSL版本0.9.8m和1.0.0a中实现的,如果你想使用它,你需要它.
如果您没有SSLVerifyClient optional在location/directory指令中使用,那么您的配置似乎并不安全,它只是不支持此TLS扩展,它允许您在每个目录/位置的基础上继续使用客户端证书身份验证.
SSLInsecureRenegotiation如果你想强制不安全的行为(并使用OpenSSL 0.9.8m或更高版本),Apache Httpd 2.2.15也引入了该指令.
| 归档时间: |
|
| 查看次数: |
13821 次 |
| 最近记录: |