我在 Windows Server 2008 R2 上运行 Apache 2.4.9。
SERVER_SOFTWARE Apache/2.4.9 (Win32) PHP/5.5.12 OpenSSL/1.0.1g
SSL_PROTOCOL TLSv1.2
Registered Stream Socket Transports tcp, udp, ssl, sslv3, sslv2, tls
我需要立即禁用 SSLv3 以防止 Poodle attacks .为此,我打开了文件 \conf\extra\httpd-ssl.conf
然后我在里面添加了下面这行代码
SSLProtocol All -SSLv2 -SSLv3
保存更改后,我重新启动了 Apache。
当恢复时,我查看了 phpinfo() 的输出,但我仍然可以看到以下内容
SSL_PROTOCOL TLSv1.2 注册流套接字传输 tcp、udp、ssl、sslv3、sslv2、tls
phpinfo() 是我检查 SSLv3 和 SSLv2 是否被禁用的地方吗?
以下是我为确保正确执行此操作而采用的更多方法。
我尝试添加这一行而不是其他命令(即。
SSLProtocol 所有 -SSLv2 -SSLv3)
SSLHonorCipherOrder On
SSLProtocol -All +TLSv1.2
我什至尝试像这样在 Apache24 目录中搜索任何包含单词“SSLProtocol”的文件
C:\Apache24>findstr /s /i /p "SSLProtocol" *.*
只找到2个文件
- httpd-ssl.conf
- CHANGES.txt
如何检查我的服务器上是否禁用了 SSLv3? 如果还没有禁用,如何正确禁用?
最佳答案
SSLProtocol All -SSLv2 -SSLv3 应该在 Apache 中禁用 SSL3。您可以在 https://www.ssllabs.com/ssltest/index.html 中检查此(和其他设置)
关于php - 我的 Apache 2.4.9(Win32?)上是否禁用了 SSLv3?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28071691/