Ho per disabilitare ssl3 in OSX Server (per posta e hosting Web)

1

Come disattivare il codice ssl3 in OSX Server in modo da non essere vulnerabile per POODLE ?

    
posta Joachim Rady 15.10.2014 - 12:54
fonte

2 risposte

2

Dipende dal server ...

Apache: SSLProtocol All -SSLv2 -SSLv3

Nginx: ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Postfix: smtpd_tls_mandatory_protocols =! SSLv2,! SSLv3

Sendmail (sendmail.mc): LOCAL_CONFIG O CipherList = ALTO O ServerSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3 + SSL_OP_CIPHER_SERVER_PREFERENCE O ClientSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3

Dovecot (in /etc/dovecot/local.conf o /etc/dovecot/conf.d): ssl_protocols =! SSLv2! SSLv3

Se utilizzi server virtuali con SSL, tieni presente che devi farlo in tutte le istanze!

    
risposta data 15.10.2014 - 17:32
fonte
1

Se stai configurando VirtualHosts usando Server.app, verrà sempre impostato SSLProxyProtocol -ALL +SSLv3 +TLSv1 nelle configurazioni del tuo sito. Puoi modificare questa riga in /Library/Server/Web/Config/apache2/sites/*.conf , ma attenzione nel caso in cui Server.app annulli le modifiche dopo una modifica.

Per risolvere in futuro VirtualHosts, potresti provare a modificare il modello predefinito in /Library/Server/Web/Config/apache2/sites_disabled/0000_default_default.conf , ma attenzione: l'aggiornamento di Server.app attraverso l'app store potrebbe ripristinare la configurazione di default originale. Precedentemente default_default.conf.default era il modello, ma questo non sembra essere il caso in Mavericks.

Se stai ignorando Server.app e stai facendo la configurazione manuale, potresti essere in grado di cavartela configurando una volta installando un frammento di configurazione in /Library/Server/Web/Config/apache2/other/ (o /etc/apache2/other/ se Server.app non è installato affatto). Ecco il mio:

/Library/Server/Web/Config/apache2/other/die_poodle_die.conf :

<IfModule mod_ssl.c>
    SSLProtocol All -SSLv2 -SSLv3
</IfModule>
    
risposta data 15.10.2014 - 19:41
fonte

Leggi altre domande sui tag