L'interface Apache Httpd vers OpenSSL
Face à un nombre croissant de problèmes de sécurité, tels que le navigateur récemment annoncé Exploiter contre SSL / TLS (BEAST), j'étais curieux de savoir comment nous pourrions activer TLS 1.1 et 1.2 avec OpenSSL et Apache afin de nous assurer que nous ne serions pas vulnérables. à de tels...
Je configure SSL pour Apache 2. Mon système est Ubuntu Server 10.04 LTS. J'ai les paramètres suivants liés à SSL dans ma configuration vhost: SSLEngine On SSLCertificateKeyFile /etc/ssl/private/server.insecure.key SSLCertificateFile /etc/ssl/certs/portal.selfsigned.crt (Remarque: je l’utilise...
J'utilise un serveur apache (2.4) configuré comme équilibreur de charge devant 2 serveurs apache. Cela fonctionne très bien lorsque j'utilise des connexions http entre loadbalancer et backends, mais l'utilisation de https ne fonctionne pas. La configuration de l'équilibreur de charge:...
Dans Apache2 sur Ubuntu, mon site écoute sur 80, et maintenant je veux ajouter SSL. Existe-t-il un moyen d'activer le SSLEngine pour le port 443 afin que je n'aie pas à copier l'intégralité du bloc VirtualHost? Quand je fais ça: Listen 80 Listen 443 NameVirtualHost * <VirtualHost *> SSLEngine...
J'essaie de prendre en charge le trafic HTTPS avec le module mod_ssl sur mon site Web. J'exécute une instance Amazon EC2 pour mon serveur. J'ai installé et configuré les packages de base de LAMP. Cependant, quand je vais mettre dans les commandes spécifiques SSL dans mes fichiers de configuration...
Nous avons un certificat SSL pour notre site Web de Network Solutions. Après la mise à niveau d'Apache / OpenSSL vers la version 2.4.9, je reçois maintenant l'avertissement suivant lors du démarrage de HTTPD: AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is...
J'ai lu des informations sur l' attaque CRIME contre la compression TLS ( CVE-2012-4929 , CRIME est le successeur de l'attaque BEAST contre ssl & tls), et je souhaite protéger mes serveurs Web contre cette attaque en désactivant la compression SSL , qui a été ajoutée à Apache 2.2.22 (Voir bug...
J'ai un serveur Ubuntu 12.04.2 LTS exécutant Apache 2.2.22 avec mod_ssl et OpenSSL v1.0.1. Dans ma configuration vhosts (tout le reste dans lequel se comporte comme je m'y attendais), j'ai la SSLProtocolligne avec -all +SSLv3. Avec cette configuration, TLS 1.1 et 1.2 sont activés et fonctionnent...
J'exécute (j'essaie d'exécuter, en fait) Apache 2.4.2 sur Windows Server 2003 R2 32 bits (plus PHP 5.4.5 et OpenSSL 1.0.1c, mais je ne pense pas que ce soit important), et j'obtiens le ligne suivante dans le journal des erreurs: [Sun Aug 05 11:52:39.546875 2012] [ssl:warn] [pid 5712:tid 348]...
La documentation Apache mod_ssl pour les directives SSLCertificateFile et SSLCertificateKeyFile indique qu'il est «fortement déconseillé» de stocker une clé privée et un certificat SSL dans le même fichier. Désormais, le fichier de clé privée doit être conservé en toute sécurité, mais en supposant...
Existe-t-il un moyen de désactiver la compression SSL / TLS dans Apache 2.2.x lors de l'utilisation de mod_ssl? Sinon, que font les gens pour atténuer les effets de CRIME / BEAST dans les anciens navigateurs? Liens connexes: https://issues.apache.org/bugzilla/show_bug.cgi?id=53219...
J'essaie d'utiliser la directive mod_proxy SSLCACertificatePath, mais je suis un peu confus sur la façon de l'utiliser correctement. Voici deux liens expliquant la directive SSLCACertificatePath: http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath
Je viens de tester mon site sur https://www.ssllabs.com/ et il a dit que SSLv2 n'est pas sécurisé et que je devrais le désactiver avec les suites de chiffrement faibles. Comment puis-je désactiver cela? J'ai essayé ce qui suit mais cela ne fonctionne pas. Je suis allé /etc/httpd/conf.d/ssl.confpar...