Ero sivun ”Tekniikka/Apache/2.2” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
Rivi 2: Rivi 2:
  
 
== Asetukset ==
 
== Asetukset ==
 +
'''SSLProtocol''' asetuksista tulee kytkeä SSLv2 ja SSLv3 pois päältä ''poodle'' havoittuvuuden takia<ref name='disablessl3'>[http://disablessl3.com/ disablessl3.com Disable SSLv3] ''s it happened for SSLv2, recently Google engineers pointed out that SSLv3 is broken (with an exploitation technique known as POODLE) and should not be used any longer. '' Viitattu: 2015-10-08</ref>
 +
 +
 
  <VirtualHost 111.222.111.222:443>
 
  <VirtualHost 111.222.111.222:443>
 
   .
 
   .
Rivi 9: Rivi 12:
 
   SSLOptions +OptRenegotiate +StdEnvVars +ExportCertData
 
   SSLOptions +OptRenegotiate +StdEnvVars +ExportCertData
 
   SSLProtocol All -SSLv2 -SSLv3
 
   SSLProtocol All -SSLv2 -SSLv3
   SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:+SSLv3
+
   SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
 
    
 
    
 
   SSLCertificateFile /etc/pki/digisaatio.fi.cert.pem
 
   SSLCertificateFile /etc/pki/digisaatio.fi.cert.pem
Rivi 23: Rivi 26:
 
    
 
    
 
  </VirtualHost>
 
  </VirtualHost>
 +
 +
 +
== Lähteet ==
 +
<references/>
  
  
 
[[Luokka:Tekniikka]]
 
[[Luokka:Tekniikka]]

Versio 8. marraskuuta 2015 kello 16.19


Asetukset

SSLProtocol asetuksista tulee kytkeä SSLv2 ja SSLv3 pois päältä poodle havoittuvuuden takia[1]


<VirtualHost 111.222.111.222:443>
 .
 .
 .
 SSLEngine on
 SSLOptions +OptRenegotiate +StdEnvVars +ExportCertData
 SSLProtocol All -SSLv2 -SSLv3
 SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
 
 SSLCertificateFile /etc/pki/digisaatio.fi.cert.pem
 SSLCertificateKeyFile /etc/pki/digisaatio.fi.key.pwdless.pem
 SSLCACertificatePath /etc/pki/ca
 
 <Location /wiki/Toiminnot:Kirjaudu_sisään>
   SSLRequireSSL
   SSLVerifyClient require
   SSLVerifyDepth 2
   SSLRequire    %{SSL_CLIENT_I_DN_OU} eq "Valtion kansalaisvarmenteet"
  </Location>
 
</VirtualHost>


Lähteet

  1. disablessl3.com Disable SSLv3 s it happened for SSLv2, recently Google engineers pointed out that SSLv3 is broken (with an exploitation technique known as POODLE) and should not be used any longer. Viitattu: 2015-10-08