Herkes bugün POODLE güvenlik açığı hakkında konuşuyor gibi görünüyor . Ve herkes aşağıdaki yapılandırma direktifini kullanarak Apache'de SSLv3'ün devre dışı bırakılmasını tavsiye eder:
SSLProtocol All -SSLv2 -SSLv3
varsayılan yerine
SSLProtocol All -SSLv2
Bunu yaptım ve neşe yok - çeşitli araçlarla tekrar tekrar test ettikten sonra ( burada hızlı bir tane var ), SSLv3'ün sunucum tarafından mutlu bir şekilde kabul edildiğini buldum.
Evet, Apache'yi yeniden başlattım. Evet, grep
tüm yapılandırma dosyalarında özyinelemeyi yaptım ve hiçbir yerde geçersiz kılma hakkım yok. Ve hayır, Apache'nin eski bir versiyonunu kullanmıyorum:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Peki ne verir? Biri Apache'deki SSLv3'ü gerçekten nasıl devre dışı bırakıyor?