Сегодня у меня возникли проблемы после запуска нового сервера. Я сделал следующее:
Но когда я проверил свою конфигурацию с помощью SSL-теста (ssllabs.com), я получил оценку C. Это произошло потому, что у меня все еще был включен SSLv3. Проводной. Я отключил его в файле конфигурации letsencrypt.
Но через некоторое время я узнал, что есть еще один файл ssl-config. SSLv3 не был отключен по умолчанию, и Apache загрузил это значение.
Моя проблема в том, что у меня 2 файла:
/etc/letsencrypt/options-ssl-apache.conf: Файл конфигурации Let's Encrypt, который включен в каждое определение виртуального хоста./etc/httpd/conf.d/ssl.conf: "Стандартный" файл конфигурации SSL.После отключения SSLv3 в "стандартной" конфигурации я получил А + рейтинг. Кажется, что Apache взял определение «SSLProtocol» из второго файла, но все остальные параметры из первого файла.
Как я могу определить, какие значения загружает Apache и из какого файла?
Если вы не предприняли конкретных действий по включению /etc/letsencrypt/options-ssl-apache.conf файл, то стандартная конфигурация CentOS его не прочитает.
По умолчанию CentOS читает /etc/https/conf/httpd.conf который, в свою очередь, включает файлы из /etc/httpd/conf.d.
Я подозреваю, что вы не предприняли никаких конкретных действий и используете файлы по умолчанию. Вы можете проверить, что на самом деле происходит, посмотрев инструкции включения в ваших файлах конфигурации и файлах, которые они включают.
Директивы Apache httpd обрабатываются в том порядке, в котором они объявлены. Включаемые файлы обрабатываются в момент их объявления. Повторяющиеся директивы, объявленные позже, переопределяют предыдущие директивы.
Да, Apache будет использовать конфигурацию SSLProtocol, определенную только в ssl.conf, из-за ошибки в OpenSSL, как описано здесь:
Можно ли установить протокол SSL в Apache для одного VirtualHost (пуделя)?
По моему опыту работы с Apache 2.2.15, это единственная конфигурация SSL, которая не загружается из файла vhost.conf, хотя я не тестировал все возможные конфигурации. Однако, если вы хотите самостоятельно проверить, что настроено на вашем сервере, без использования SSL Server Test, вам пригодятся некоторые инструменты браузера, такие как CipherFox.