Come disattivare il codice ssl3 in OSX Server in modo da non essere vulnerabile per POODLE ?
Come disattivare il codice ssl3 in OSX Server in modo da non essere vulnerabile per POODLE ?
Dipende dal server ...
Apache: SSLProtocol All -SSLv2 -SSLv3
Nginx: ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Postfix: smtpd_tls_mandatory_protocols =! SSLv2,! SSLv3
Sendmail (sendmail.mc): LOCAL_CONFIG O CipherList = ALTO O ServerSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3 + SSL_OP_CIPHER_SERVER_PREFERENCE O ClientSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3
Dovecot (in /etc/dovecot/local.conf o /etc/dovecot/conf.d): ssl_protocols =! SSLv2! SSLv3
Se utilizzi server virtuali con SSL, tieni presente che devi farlo in tutte le istanze!
Se stai configurando VirtualHosts usando Server.app, verrà sempre impostato SSLProxyProtocol -ALL +SSLv3 +TLSv1
nelle configurazioni del tuo sito. Puoi modificare questa riga in /Library/Server/Web/Config/apache2/sites/*.conf
, ma attenzione nel caso in cui Server.app annulli le modifiche dopo una modifica.
Per risolvere in futuro VirtualHosts, potresti provare a modificare il modello predefinito in /Library/Server/Web/Config/apache2/sites_disabled/0000_default_default.conf
, ma attenzione: l'aggiornamento di Server.app attraverso l'app store potrebbe ripristinare la configurazione di default originale. Precedentemente default_default.conf.default
era il modello, ma questo non sembra essere il caso in Mavericks.
Se stai ignorando Server.app e stai facendo la configurazione manuale, potresti essere in grado di cavartela configurando una volta installando un frammento di configurazione in /Library/Server/Web/Config/apache2/other/
(o /etc/apache2/other/
se Server.app non è installato affatto). Ecco il mio:
/Library/Server/Web/Config/apache2/other/die_poodle_die.conf
:
<IfModule mod_ssl.c>
SSLProtocol All -SSLv2 -SSLv3
</IfModule>
Leggi altre domande sui tag apache osx-server server.app