iT邦幫忙

0

Apache2中的SSL版本是APACHE底下設定嗎?

  • 分享至 

  • xImage

日前利用Nessus掃描,有一台主機apache服務在443出現SSL Version 2 and 3 Protocol Detection

小弟知道SSL的版本過舊,要升到TLS1.2以上。

但我嘗試在vm上也啟了一個Apache2,也利用Openssl產生憑證,且SSLProtocol設定如下:

SSLProtocol all -SSLv3

443也成功啟用,照理來說也會出現相同的弱點,但弱掃結果並沒有出現SSL Version 2 and 3 Protocol Detection

所以想請問443下的SSL的版本是根據服務本身的設定影響嗎?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
㊣浩瀚星空㊣
iT邦大神 1 級 ‧ 2021-01-19 11:04:37
最佳解答

你可以先用如下的指令

nmap --script ssl-enum-ciphers -p 443 你的域名

檢查看看是否有開啟tls,且檢查ssl相關的是否已經關閉。

再來找找所有的設定檔
可用如下的指令找

grep -r SSLEngine /etc/nginx/*

PS:我用的是nginx。你要改成你的httpd的路行找。
反正就是先找出有SSLEngine相關的設定檔。然後再一個一個打開

如果有對應的設定檔。在其 SSLProtocol 相關。如你文中那樣設定

SSLProtocol all -SSLv2 -SSLv3

一般sslv目前新版的都已經預設不啟用了。你可能是以前舊版的設定。
設定檔改掉就好了。正常啦,畢竟我一開始就沒在用sslv?了
雖然有幫客戶處理過一下設定就是了。

不過我用的是nginx的。所以本來就沒有。
先用nmap查看一下確認。看看是否是板本的問題。
如果只是單純沒關閉ssl的協議。就從設定檔中調整設定就行了。

對了對了,要記得設定完要做重啟服務的動作喔!!

我要發表回答

立即登入回答