Параметры конфигурации, которые я установил в httpd.conf, на самом деле не работают. После перезапуска Apache я использовал несколько веб-сайтов с онлайн-проверкой SSL, и оказалось, что Apache не использует конфигурации SSLProtocol.
Тесты показывают, что SSL v3 все еще включен, хотя в моем конфигурационном файле apache он не установлен.
Мне пришлось установить отдельный сертификат в другой контейнер VZ и выполнить тот же процесс, и, похоже, все работает нормально.
Вот что у меня в httpd.conf
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
<VirtualHost 1.1.1.1:443>
ServerName domain.org
ServerAlias www.domain.org
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateKeyFile /etc/httpd/ssl/domain.org.key
SSLCertificateFile /etc/httpd/ssl/domain_org.crt
SSLCertificateChainFile /etc/httpd/ssl/bundle.crt
</VirtualHost>
Существуют ли какие-либо настройки, которые могут переопределять конфигурацию SSLProtocol? Мне просто нужна точка в правильном направлении, чтобы попытаться выяснить, что здесь происходит, поскольку я понимаю, что у меня все настроено правильно.
попробуйте поставить
SSLProtocol All -SSLv2 -SSLv3
внутри контейнера VirtualHost, например:
<VirtualHost 1.1.1.1:443>
ServerName domain.org
ServerAlias www.domain.org
SSLProtocol All -SSLv2 -SSLv3
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateKeyFile /etc/httpd/ssl/domain.org.key
SSLCertificateFile /etc/httpd/ssl/domain_org.crt
SSLCertificateChainFile /etc/httpd/ssl/bundle.crt
</VirtualHost>
у вас, вероятно, все еще есть виртуальные хосты, на которых работает SSLv3, поэтому все серверы отвечают на SSLv3.
Видеть unix.stackexchange.com