Ho rimosso SSLv3 dal mio file ssl.conf di Apache 2.2.15 con la linea
SSLProtocol All -SSLv2 -SSLv3
Ho riavviato httpd ma i test di POODLE mostrano ancora la vulnerabilità esistente con POODLE. Quale altro potrebbe essere il problema? Grazie
Devi prima guardare tutti i file di configurazione se SSLv3 è abilitato su qualche vhost:
grep -i -r "SSLProtocol" /etc/apache
Prendi l'elenco dei file grep trovato e modifica la configurazione come segue:
SSLEngine on
SSLProtocol TLSv1
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH
Riavvia Apache in seguito e deve funzionare.