我的 Apache 2.4.9 (Win32?) 上是不是禁用了 SSLv3

Posted 2023-03-10

【中文标题】我的 Apache 2.4.9 (Win32?) 上是不是禁用了 SSLv3

【英文标题】：Is SSLv3 disabled on my Apache 2.4.9 (Win32?)我的 Apache 2.4.9 (Win32?) 上是否禁用了 SSLv3

【发布时间】：2015-03-20 05:40:32

【问题描述】：

我在 windows Server 2008 R2 上运行 Apache 2.4.9。

SERVER_SOFTWARE                          Apache/2.4.9 (Win32) php/5.5.12 OpenSSL/1.0.1g 
SSL_PROTOCOL                             TLSv1.2 
Registered Stream Socket Transports      tcp, udp, ssl, sslv3, sslv2, tls

我需要立即禁用 SSLv3 以阻止 Poodle attacks。为此，我打开了文件\conf\extra\httpd-ssl.conf

然后我添加了下面这行代码

SSLProtocol All -SSLv2 -SSLv3

保存更改后，我重新启动了 Apache。

回来后，我查看了phpinfo() 的输出，但我仍然可以看到以下内容

SSL_PROTOCOL TLSv1.2 注册流套接字传输 tcp, udp, ssl, sslv3, sslv2, tls

phpinfo() 是我检查 SSLv3 和 SSLv2 是否被禁用的地方吗？

以下是我为确保正确执行此操作而采取的更多方法。 我尝试添加这一行而不是其他命令（即。 SSLProtocol All -SSLv2 -SSLv3)

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1.2

我什至尝试在 Apache24 目录中搜索任何包含单词“SSLProtocol”的文件，就像这样

C:\Apache24>findstr /s /i /p "SSLProtocol" *.*

仅找到 2 个文件

httpd-ssl.conf CHANGES.txt

如何检查我的服务器上是否禁用了 SSLv3？ 如果还没有禁用，如何正确禁用呢？

【参考方案1】：

SSLProtocol All -SSLv2 -SSLv3 应该在您的 Apache 安装中禁用 SSLv3 协议。For reference. 我不确定phpinfo() 但是如果您想在您的站点上查看启用的协议。 Browse here 并输入您的网站地址。找到这个post here 。您也可以使用openssl 来检查是否存在 SSLv3。使用以下命令查看启用了哪些 SSL 协议

openssl s_client -connect SERVER_IP/DNS_NAME:443

要查看其他 promising tools，您可以 Google 并尝试一下。希望对您有所帮助！

【参考方案2】：

SSLProtocol All -SSLv2 -SSLv3 应该在 Apache 中禁用 SSL3。你可以在https://www.ssllabs.com/ssltest/index.html查看这个（和其他设置）