Отключение SSLv2 в mod_ssl
April 8th, 2009
SSLv2 уже давно не обеспечивает приемлемого уровня безопасности и поэтому желательно отключить его в mod_ssl. Для этого в виртуалхосте апача надо прописать:
SSLProtocol -all +TLSv1 +SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
Рестартуем Апач и проверяем:
/usr/bin/openssl s_client -state -debug -ssl2 -connect mysite.com:443
Должна появиться ошибка в невозможности хэндшейка.
А так должно нормально подключиться:
/usr/bin/openssl s_client -state -debug -ssl3 -connect mysite.com:443
