Назад | Перейти на главную страницу

Отключить сжатие SSL / TLS в Apache 2.2.x

Есть ли способ отключить сжатие SSL / TLS в Apache 2.2.x при использовании mod_ssl?

Если нет, то что люди делают, чтобы смягчить последствия CRIME / BEAST в старых браузерах?

Ссылки по теме:

  1. https://issues.apache.org/bugzilla/show_bug.cgi?id=53219
  2. https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512
  3. https://security.stackexchange.com/questions/19911/crime-how-to-beat-the-beast-successor

Ты можешь использовать SSLCompression off если у вас 2.2.24 или новее.

Если нет, вы можете установить OPENSSL_NO_DEFAULT_ZLIB переменная окружения для принудительного отключения сжатия в OpenSSL - см. этот вопрос.