Désactiver SSLV3 mais supportant toujours SSLV2Hello à Apache
De nombreux clients SSL, notamment JDK 6, utilisez le protocole SSLV2Hello pour faire pression sur le serveur. Utiliser ce protocole non signifie que vous utilisez SSL 2.0 ou 3.0 à ce sujet; C'est simplement une poignée de main pour déterminer qui protocole à utiliser. [ http://tools.ietf.org/html/rfc5246#appendix-e.2]
Cependant, dans Apache, si vous désactivez le support SSLV3, cela supprime apparemment la prise en charge du protocole SSLV2Hello. Apache Tomcat a une assistance explicite pour SSLV2Hello; C'est-à-dire que vous pouvez l'activer, mais ne pas activer SSLV3.
Y a-t-il un moyen de le faire à Apache?
[Mettre à jour]
Ceci est ma configuration de protocole:
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
Apparemment, Mod_SSL a changé au cours de la dernière année (je n'ai pas trouvé exactement commettre à la source, mais j'ai trouvé le "problème"). La source fait maintenant ceci:
If SSLProtocol only includes only one Protocol:
Handshake = That Protocol's Handshake Only
Else
Handshake = SSLv2 Handshake
Il n'y a pas de remplacement pour ce réglage. La seule chose que vous puissiez faire est d'éditer la source, de recompiler votre propre version. J'ai créé un diff pour forcer la compatibilité de la poignée de main SSLV2 si vous souhaitez compiler votre propre.