Wydaje się, że wszyscy dzisiaj mówią o podatności na POODLE . I wszyscy zalecają wyłączenie SSLv3 w Apache przy użyciu następującej dyrektywy konfiguracyjnej:
SSLProtocol All -SSLv2 -SSLv3
zamiast domyślnego
SSLProtocol All -SSLv2
Zrobiłem to i nie mam radości - po wielokrotnych testach z różnymi narzędziami ( tutaj jest szybkie ), stwierdzam, że mój serwer chętnie akceptuje SSLv3.
Tak, zrestartowałem Apache. Tak, zrobiłem rekursywny grep
dla wszystkich plików konfiguracyjnych i nigdzie nie mam nadpisania. I nie, nie używam jakiejś starożytnej wersji Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Co więc daje? Jak można naprawdę wyłączyć SSLv3 w Apache?