so aktivieren Sie TLS_FALLBACK_SCSV für Apache

Soweit ich es verstehe, ist dies keine Konfiguration in Apache, sondern ein Verhalten von openssl.

OpenSSL hat Unterstützung für TLS_FALLBACK_SCSV hinzugefügt, um Anwendungen zuzulassen um zu verhindern, dass ein MITM-Angreifer ein Protokoll erzwingen kann Downgrade.

https://www.openssl.org/news/secadv_20141015.txt

Unter Debian können Sie openssl aktualisieren, ohne libssl zu aktualisieren. Sie möchten wirklich, dass libssl aktualisiert wird. Apache verwendet libssl.

Aktualisieren Sie auf das neueste OpenSSL-Paket, das TLS_FALLBACK_SCSV implementiert. Deaktivieren Sie dann in Ihrer Apache-Konfiguration auch SSLv3.

SSLProtocol all -SSLv2  -SSLv3

Diese Antwort auf der "askubuntu" -Stack-Site enthält viel mehr Details und enthält Antworten auf die Konfiguration einer Reihe verschiedener Server. 

https://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566

Es sollte nicht notwendig sein, beides zu tun; TLS_FALLBACK_SCSV ist ein Mechanismus zum Verhindern von Downgrade-Angriffen. Wenn Ihr Server jedoch keine SSLv3-Verbindungen (oder v2-Verbindungen) zulässt, ist dies nicht erforderlich (da diese heruntergestuften Verbindungen nicht funktionieren würden).

Bearbeiten (um Feedback aufzunehmen): Technisch gesehen ist TLS_FALLBACK_SCSV auch bei deaktiviertem SSL nützlich, da es verhindert, dass die Verbindung auf TLS <1.2 herabgestuft wird. Dies ist jedoch nicht zur Abwehr von POODLE erforderlich, da das verwundbare SSLv3 deaktiviert ist.

Der einzige Grund, warum TLS_FALLBACK_SCSV gegen POODLE hilfreich ist, ist die Unterstützung von SSLv3-Clients (wirklich alte IE -Versionen oder etwas anderes). Diese Clients sind immer noch anfällig für den Angriff, aber moderne Clients, die diese Option unterstützen, wären vor dem Downgrade-Angriff sicher.

Fügen Sie die folgende Zeile in Ihre Konfigurationsdatei ein oder ersetzen Sie eine vorhandene Zeile, die mit SSLProtocol beginnt: SSLProtocol All -SSLv2 -SSLv3

Führen Sie dann Folgendes aus: $ Sudo Apache2ctl configtest && Sudo service Apache2 restart

Sie können test running Befehl $ openssl s_client -connect <Host>:<port> -ssl3

Ich kann bestätigen, dass auf Apache nichts geändert werden muss (zumindest für Ubuntu 14.04). Ich habe Apache nach dem Update von openssl neu gestartet und TLS_FALLBACK_SCSV funktioniert.

TLS_EMPTY_RENEGOTIATION_INFO_SCSV ist das Zauberwort . Weitere Informationen finden Sie unter http://www.exploresecurity.com . 

TLS_FALLBACK_SCSV ist eine gefälschte Chiffriersuite, die im Client .__ angekündigt wird. Hallo, der SSL/TLS-Handshake wird gestartet. SCSV steht für „Signaling Cipher Suite Value “. Die Idee, eine Chiffre-Suite als Signal zu verwenden, ist nicht neu: TLS_EMPTY_RENEGOTIATION_INFO_SCSV ist eine Möglichkeit für Clients werben, dass sie sichere Neuverhandlungen unterstützen (Adressierung CVE-2009-3555)

Bei einem Spring-Boot-Projekt mit eingebettetem Apache Server würde die Konfiguration also in etwa folgendermaßen aussehen: 

server.ssl.enabled-protocols=TLSvx,TLSvx.y....
server.ssl.protocol=TLS
server.ssl.ciphers=TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_............TLS_EMPTY_RENAGOTIATION_INFO_SCSV 
server.server-header="Willi Wonka!"

PS - Um alle Spring-Boot-Konfigurationen Eigenschaften anzuzeigen, besuchen Sie diese:/- https://docs.spring.io