У мене є веб-сервер під управлінням Apache 2.0 на RHEL4. Цей сервер нещодавно не вдався до сканування PCI.
Причина: SSLv3.0 / TLSv1.0 Протокол слабкого рішення вразливості режиму CBC: Ця атака була ідентифікована в 2004 році та пізніших версіях протоколу TLS, які містять виправлення для цього. Якщо можливо, оновіть до TLSv1.1 або TLSv1.2. Якщо оновлення до TLSv1.1 або TLSv1.2 неможливе, відключення шифрів режиму CBC усуне вразливість. Використання наступної конфігурації SSL в Apache зменшує цю вразливість: SSLHonorCipherOrder на SSLCipherSuite RC4-SHA: HIGH:! ADH
Просте виправлення, я думав. Я додав рядки до конфігурації Apache, і це не спрацювало. Мабуть,
"SSLHonorCipherOrder On" працюватиме лише на Apache 2.2 та пізніших версіях. Я спробував оновити Apache, незабаром потрапив у пекло залежності і, здається, мені доведеться оновити всю ОС, щоб оновити Apache 2.2. Ми вилучаємо цей сервер через кілька місяців, тому цього не варто.
У рішенні сказано: "Якщо оновлення до TLSv1.1 або TLSv1.2 неможливе, відключення шифрів режиму CBC зніме вразливість."
Як би це зробити на Apache 2.0? Це навіть можливо? Якщо ні, чи є ще якісь роботи?