Ho para deshabilitar ssl3 en el servidor OSX (para correo y alojamiento web)

1

¿Cómo deshabilito el cifrado ssl3 en el servidor OSX para no ser vulnerable a POODLE ? ?

    
pregunta Joachim Rady 15.10.2014 - 12:54

2 respuestas

2

Depende del servidor ...

Apache: SSLProtocol All -SSLv2 -SSLv3

NGINX: ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Postfix: smtpd_tls_mandatory_protocols =! SSLv2,! SSLv3

Sendmail (sendmail.mc): LOCAL_CONFIG O CipherList = ALTO O ServerSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3 + SSL_OP_CIPHER_SERVER_PREFERENCE O ClientSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3

Dovecot (en /etc/dovecot/local.conf o /etc/dovecot/conf.d): ssl_protocols =! SSLv2! SSLv3

Si usa servidores virtuales con SSL, tenga en cuenta que debe hacer esto en todos los casos.

    
respondido por el Joerg Hochwald 15.10.2014 - 17:32
1

Si está configurando VirtualHosts usando Server.app, siempre establecerá SSLProxyProtocol -ALL +SSLv3 +TLSv1 en sus configuraciones de sitio. Puede editar esta línea en /Library/Server/Web/Config/apache2/sites/*.conf , pero tenga cuidado en caso de que Server.app deshaga sus cambios después de una edición.

Para solucionar problemas en VirtualHosts en el futuro, puede intentar editar la plantilla predeterminada en /Library/Server/Web/Config/apache2/sites_disabled/0000_default_default.conf , pero tenga cuidado: actualizar Server.app a través de la tienda de aplicaciones puede restaurar la configuración predeterminada original. Anteriormente, default_default.conf.default era la plantilla, pero este no parece ser el caso en Mavericks.

Si está ignorando Server.app y está haciendo la configuración manual, es posible que pueda realizar la configuración una vez instalando un fragmento de configuración en /Library/Server/Web/Config/apache2/other/ (o /etc/apache2/other/ si Server.app no está instalado). Aquí está la mía:

/Library/Server/Web/Config/apache2/other/die_poodle_die.conf :

<IfModule mod_ssl.c>
    SSLProtocol All -SSLv2 -SSLv3
</IfModule>
    
respondido por el Glen van de Mosselaer 15.10.2014 - 19:41

Lea otras preguntas en las etiquetas