logo标签列表

SSL3_ACCEPT Apache:不安全的遗留协商已禁用。

sslapache2
4

我们的一位客户抱怨无法访问我们的ssl web服务器。我们使用的是Ubuntu 12.04,Apache 2.2.22,我们的OpenSSL版本是1.0.1。Apache错误日志显示如下:

[error] [client xxx.xxx.xxx.xxx] Re-negotiation request failed
[error] SSL Library Error: 336068946 error:14080152:SSL routines:SSL3_ACCEPT:unsafe legacy renegotiation disabled

根据Apache访问日志,他们正在使用非常老的浏览器。我读过添加“SSLVerifyClient optional”和“SSLInsecureRenegotiation on”选项可以解决这个问题。然而,Apache错误日志仍在报告此错误。
<VirtualHost *:443>
   SSLEngine on
   SSLProtocol all -SSLv2
   ....
   ....
   SSLVerifyClient optional
   SSLInsecureRenegotiation on
</VirtualHost>

我们的虚拟主机配置有问题吗?由于客户端不会在他们的端口进行修复,除此之外还有其他尝试的方法吗?

2个回答
0

将SSLInsecureRenegotiation设置为on应该可以解决问题,您确定您在正确的虚拟主机中吗?您可以使用apache2ctl -S命令查看所有当前配置的虚拟主机。

请注意,使用SSLInsecureRenegotiation会使所有客户容易受到中间人攻击。

您IP地址为143.198.54.68,由于运营成本限制,当前对于免费用户的使用频率限制为每个IP每72小时10次对话,如需解除限制,请点击左下角设置图标按钮(手机用户先点击左上角菜单按钮)。 - gillytech
-1

我们的虚拟主机配置还包含以下SSLCipherSuite指令:

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

通过删除此行并使用默认的SSLCipherSuite指令解决了这个问题。
SSLCipherSuite DEFAULT 设置即可生效。也可以使用 Mozilla 的配置生成器 获取最新的 SSLCipherSuite 条目列表,以便复制粘贴。 - FvD
这行代码很重要,用于禁止使用不安全的密码套件。如果你不理解这个概念,我强烈建议你学习一下互联网加密基础知识。编辑这行代码时要小心谨慎。 - gillytech
因为如gillytech之前所提到的,所以被踩了。 - Chris West
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接