Windows Server 2008 R2 で Apache 2.4.9 を実行しています。
SERVER_SOFTWARE Apache/2.4.9 (Win32) PHP/5.5.12 OpenSSL/1.0.1g
SSL_PROTOCOL TLSv1.2
Registered Stream Socket Transports tcp, udp, ssl, sslv3, sslv2, tls
Poodle 攻撃を防ぐために、すぐに SSLv3 を無効にする必要があります。そのためにファイルを開きました\conf\extra\httpd-ssl.conf
次に、次のコード行を追加しました
SSLProtocol All -SSLv2 -SSLv3
変更を保存した後、Apache を再起動しました。
戻ってきたとき、私はの出力を見ましたが、phpinfo()それでも次のことがわかります
SSL_PROTOCOL TLSv1.2 登録済みストリーム ソケット トランスポート tcp、udp、ssl、sslv3、sslv2、tls
phpinfo()SSLv3 と SSLv2 が無効になっているかどうかを確認する場所はどこですか?
これが正しく行われていることを確認するために行ったその他の方法を次に示します。他のコマンドの代わりにこの行を追加してみました (ie.
SSLProtocol All -SSLv2 -SSLv3)
SSLHonorCipherOrder On
SSLProtocol -All +TLSv1.2
Apache24ディレクトリ内に「SSLProtocol」という単語を含むファイルを検索しようとしました
C:\Apache24>findstr /s /i /p "SSLProtocol" *.*
これは2つのファイルしか見つかりませんでした
- httpd-ssl.conf
- CHANGES.txt
サーバーで SSLv3 が無効になっているかどうかを確認するにはどうすればよいですか? まだ無効になっていない場合、適切に無効にする方法は?