Я пытаюсь обновить настройки SSL для тестового сервера под управлением CentOs 6.4, но после обновления комплектов шифров SSL apache не запускается.
Расположение файла конфигурации: /etc/httpd/conf.d/ssl.conf
.
Перезапустить команду как root: service httpd restart
Первоначально (работает):
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP
Обновлено (не работает):
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXP
Я включил httpd LogLevel
к debug
, и ниже то, что я вижу.
[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[info] Init: Seeding PRNG with 256 bytes of entropy
[info] Init: Generating temporary RSA private keys (512/1024 bits)
[info] Init: Generating temporary DH parameters (512/1024 bits)
[info] Init: Initializing (virtual) servers for SSL
(stops here)
Я проверил конфигурацию виртуального хоста на этом сервере, и на нем есть только копия файла конфигурации рабочего сервера. Я не уверен, актуально ли это.
Есть идеи, как решить эту проблему? Кстати, необходимо ли обновлять оба SSLProtocol
и SSLCipherSuite
?
SSLCipherSuite ALL:! ADH: RC4 + RSA: + HIGH: + MEDIUM:! LOW:! SSLv2:! SSLv3:! EXP
Отключение комплектов шифров SSLv2 и SSLv3 эффективно отключает все комплекты шифров, необходимые для SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1, поскольку TLS 1.0 и TLS 1.1 не определяли никаких новых костюмов шифров. Поскольку CentOS 6.4 включает только OpenSSL 1.0.0, который еще не поддерживает TLS1.2, у вас фактически не осталось никаких шифров.
Пожалуйста, ограничьте исправление POODLE до SSLProtocol
и оставьте шифры в покое. Проблемы с POODLE заключаются не в недостатках шифров, а в самом протоколе.