Если посмотреть на thc-ssl-dos, он влияет только на веб-сайты с поддержкой SSL с включенным повторным согласованием.
Я проверял несколько серверов и у меня есть следующие вопросы;
Первый; повторные согласования по умолчанию отключены в моих установках Apache, поэтому в каких сценариях я мог бы его включить?
Во-вторых; У меня есть блок разработчика с несколькими виртуальными хостами, как я могу его включить (только для сайта по умолчанию), чтобы проверить эффективность этой атаки? Я запускаю apache2 на Debian squeeze.
Спасибо.
Apache 2.2.15 или выше, работающий с OpenSSL 0.9.8l или ниже, полностью отключает инициируемое клиентом повторное согласование, без возможности его включить.
С OpenSSL 0.9.8m в Apache 2.2.15 или выше у вас есть пара вещей:
SSLInsecureRenegotiation On
директива.Из того небольшого исследования, которое я проделал по этому вопросу, мне неясно, влияет ли используемый тип повторного согласования (новый, «безопасный» или старый стандарт) на успешность атаки - это может сработать. только на одном или другом, или на обоих.
Что касается сценариев, для которых его необходимо включить, я считаю, что проверка подлинности сертификата клиента является основным вариантом использования.
Повторное согласование SSL / TLS было включено по умолчанию, но многие дистрибутивы Linux выпустили исправленные версии Apache, которые отключили повторное согласование. Чтобы быть уверенным, вам необходимо проверить номер версии и журнал изменений для вашего дистрибутива Apache.
Предполагая, что вы используете версию, в которой отключено повторное согласование, вы можете повторно включить ее, установив SSLInsecureRenegotiation on
в вашей конфигурации apache.