Назад | Перейти на главную страницу

httpd не запускается с обновленным SSLCipherSuite (POODLE)

Я пытаюсь обновить настройки SSL для тестового сервера под управлением CentOs 6.4, но после обновления комплектов шифров SSL apache не запускается.

Расположение файла конфигурации: /etc/httpd/conf.d/ssl.conf.

Перезапустить команду как root: service httpd restart

Первоначально (работает):

SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP

Обновлено (не работает):

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXP

Я включил httpd LogLevel к debug, и ниже то, что я вижу.

[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[info] Init: Seeding PRNG with 256 bytes of entropy
[info] Init: Generating temporary RSA private keys (512/1024 bits)
[info] Init: Generating temporary DH parameters (512/1024 bits)
[info] Init: Initializing (virtual) servers for SSL
(stops here)

Я проверил конфигурацию виртуального хоста на этом сервере, и на нем есть только копия файла конфигурации рабочего сервера. Я не уверен, актуально ли это.

Есть идеи, как решить эту проблему? Кстати, необходимо ли обновлять оба SSLProtocol и SSLCipherSuite?

SSLCipherSuite ALL:! ADH: RC4 + RSA: + HIGH: + MEDIUM:! LOW:! SSLv2:! SSLv3:! EXP

Отключение комплектов шифров SSLv2 и SSLv3 эффективно отключает все комплекты шифров, необходимые для SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1, поскольку TLS 1.0 и TLS 1.1 не определяли никаких новых костюмов шифров. Поскольку CentOS 6.4 включает только OpenSSL 1.0.0, который еще не поддерживает TLS1.2, у вас фактически не осталось никаких шифров.

Пожалуйста, ограничьте исправление POODLE до SSLProtocol и оставьте шифры в покое. Проблемы с POODLE заключаются не в недостатках шифров, а в самом протоколе.