我在Windows Server 2008 R2上运行Apache 2.4.9。
SERVER_SOFTWARE Apache/2.4.9 (Win32) PHP/5.5.12 OpenSSL/1.0.1g
SSL_PROTOCOL TLSv1.2
Registered Stream Socket Transports tcp, udp, ssl, sslv3, sslv2, tls
我需要立即禁用SSLv3以防止贵宾犬攻击。为此,我打开了文件confextrahttpd-ssl.conf
然后我添加了以下代码行
SSLProtocol All -SSLv2 -SSLv3
保存更改后,我重新启动了 Apache。
当重新出现时,我查看了phpinfo()的输出,但我仍然可以看到以下内容
SSL_PROTOCOL TLSv1.2已注册的流套接字传输 TCP, UDP, SSL, SSLV3, sslv2, TLS
我检查SSLv3和SSLv2是否被禁用的phpinfo()吗?
以下是我所做的更多方法,以确保我正确执行此操作。我尝试添加此行而不是其他命令(即。 SSLProtocol All -SSLv2 -SSLv3 )
SSLHonorCipherOrder On
SSLProtocol -All +TLSv1.2
我什至尝试在 Apache24 目录中搜索任何包含"SSLProtocol"一词
的文件,如下所示C:Apache24>findstr /s /i /p "SSLProtocol" *.*
这只找到了 2 个文件
- httpd-ssl.conf
- 变化 .txt
如何检查我的服务器上是否禁用了SSLv3?如果尚未禁用,如何正确禁用它?
SSLProtocol All -SSLv2 -SSLv3应该在Apache中禁用SSL3。您可以在 https://www.ssllabs.com/ssltest/index.html 检查此设置(和其他设置)
SSLProtocol All -SSLv2 -SSLv3应该在Apache安装中禁用SSLv3协议。供参考。
但是,如果您想在您的网站上查看已启用的协议,我不确定phpinfo()。浏览此处并输入您的站点地址。在这里找到这篇文章.您也可以使用用户openssl来检查是否存在 SSLv3。 使用以下命令查看启用了哪些 SSL 协议
OpenSSL s_client -connect {SERVER_IP/DNS_NAME}:443
要查看其他有前途的工具,您可以谷歌并尝试一下。
希望对您有所帮助!