CVE-2014-3566 a.k.a. POODLE (Padding Oracle On Downgraded Legacy Encryption)の対策としてSSLv3を無効にします。
ここでは、Ubuntu Server 12.04のApache/2.2 を対象としています。
1 2 3 4 | % sudo vi /etc/apache2/mods-enabled/ssl.conf (snip) SSLProtocol all -SSLv2 |
となっている行の最後に、”-SSLv3″を追加。
そして、ApacheをreloadすればOK。
一応、できたかどうか確認。
設定前
1 2 3 4 5 6 7 8 9 | % curl -4 -k https://blog.daichang.me/ --head --sslv3 HTTP/1.1 200 OK Date: Wed, 15 Oct 2014 12:42:34 GMT Server: Apache/2.2.22 (Ubuntu) X-Powered-By: PHP/5.3.10-1ubuntu3.14 X-Pingback: https://blog.daichang.me/xmlrpc.php Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8 |
設定後
1 2 3 | % curl -4 -k https://blog.daichang.me/ --head --sslv3 curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure |
できてるんじゃないでしょうかね。
No comment yet, add your voice below!