Wie deaktiviere ich die SSL3-Verschlüsselung in OSX Server, um nicht für POODLE anfällig zu sein ?
Hängt vom Server ab...
Apache: SSLProtocol All -SSLv2 -SSLv3
NGINX: ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Postfix: smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
Sendmail (sendmail.mc): LOCAL_CONFIG O CipherList=HIGH O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
Dovecot (In /etc/dovecot/local.conf oder /etc/dovecot/conf.d): ssl_protocols = !SSLv2 !SSLv3
Wenn Sie virtuelle Server mit SSL verwenden, beachten Sie bitte, dass Sie dies auf allen Instanzen tun müssen!
Wenn Sie VirtualHosts mit Server.app konfigurieren, wird es immer SSLProxyProtocol -ALL +SSLv3 +TLSv1
in Ihren Site-Konfigurationen festgelegt. Sie können diese Zeile in bearbeiten /Library/Server/Web/Config/apache2/sites/*.conf
, aber passen Sie auf, dass Server.app Ihre Änderungen nach einer Bearbeitung rückgängig macht.
Um zukünftige VirtualHosts zu beheben, könnten Sie versuchen, die Standardvorlage in zu bearbeiten /Library/Server/Web/Config/apache2/sites_disabled/0000_default_default.conf
, aber seien Sie vorsichtig – ein Upgrade von Server.app über den App Store kann die ursprüngliche Standardkonfiguration wiederherstellen. Früher default_default.conf.default
war das die Vorlage, aber das scheint in Mavericks nicht der Fall zu sein.
Wenn Sie Server.app ignorieren und eine manuelle Konfiguration durchführen, können Sie möglicherweise mit der einmaligen Konfiguration davonkommen, indem Sie ein Konfigurationsfragment installieren /Library/Server/Web/Config/apache2/other/
(oder /etc/apache2/other/
wenn Server.app überhaupt nicht installiert ist). Hier ist meins:
/Library/Server/Web/Config/apache2/other/die_poodle_die.conf
:
<IfModule mod_ssl.c>
SSLProtocol All -SSLv2 -SSLv3
</IfModule>
Fahrrad
Joachim Rady