Войти

Показать полную графическую версию : [решено] Apache + TLS

includer-test
28-10-2014, 08:36
Всем доброго времени суток.
Подскажите пожалуйста, каким образом настраивается соединение с Apache(Win) по TlS 1.1/1.2 протоколу. Возможно ли это?
Про SSL3.0 все понятно, интересует именно TLS. Как это реализовывается в теории, если есть возможность можно кусок httpd.conf с настройкой?
vadblm
28-10-2014, 16:21
TLS это то же самое, что SSL, только новее и продвинутее. Когда вы включаете в апаче SSL, TLS тоже включается. Или вам нужно, в свете свежей уязвимости poodle, отключить старые ненадёжные протоколы SSL, оставив только TLS? Тогда как-то так:

SSLProtocol All -SSLv2 -SSLv3

Проверить какие протоколы у вас используются, при условии, что сервер смотрит в мир, можно тут https://www.ssllabs.com/ssltest/index.html
Ну или руками openssl s_client или утилиткой sslscan http://sourceforge.net/projects/sslscan/ или подобной. Как-то так:

[vadblm@vblmpb ~]$ sslscan --no-failed google.com:443
_
___ ___| |___ ___ __ _ _ __
/ __/ __| / __|/ __/ _` | '_ \
\__ \__ \ \__ \ (_| (_| | | | |
|___/___/_|___/\___\__,_|_| |_|

Version 1.8.2
http://www.titania.co.uk
Copyright Ian Ventura-Whiting 2009

Testing SSL server google.com on port 443

Supported Server Cipher(s):
Accepted SSLv3 256 bits ECDHE-RSA-AES256-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 128 bits ECDHE-RSA-AES128-SHA
Accepted SSLv3 128 bits AES128-SHA
Accepted SSLv3 128 bits ECDHE-RSA-RC4-SHA
Accepted SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Accepted SSLv3 112 bits ECDHE-RSA-DES-CBC3-SHA
Accepted SSLv3 112 bits DES-CBC3-SHA
Accepted TLSv1 256 bits ECDHE-RSA-AES256-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 128 bits ECDHE-RSA-AES128-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits ECDHE-RSA-RC4-SHA
Accepted TLSv1 128 bits RC4-SHA
Accepted TLSv1 128 bits RC4-MD5
Accepted TLSv1 112 bits ECDHE-RSA-DES-CBC3-SHA
Accepted TLSv1 112 bits DES-CBC3-SHA

Prefered Server Cipher(s):
SSLv3 128 bits ECDHE-RSA-RC4-SHA
TLSv1 128 bits ECDHE-RSA-RC4-SHA

Вот тут подробная инфа по закрытию ненаджёжных протоколов: https://www.linode.com/docs/security/security-patches/disabling-sslv3-for-poodle
includer-test
28-10-2014, 17:34
Большое Вам спасибо, за подробный ответ. Именно это мне и нужно было, отключить старые версии SSL протокола.
vadblm
28-10-2014, 17:47
Всё получилось? Проверили, отключены ли SSLv2 и SSLv3 любым из указанных мною способов?
includer-test
29-10-2014, 08:04
Да, отключил и проверил через openssl, а также можно через сервис: poodlebleed.com — проверка серверов
PS:Кому интересно, для других серверов, хорошо описано здесь: http://habrahabr.ru/company/dsec/blog/240499/



© OSzone.net 2001-2012