In questa guida descriveremo come configurare apache per accettare connesioni solo con SSLv3, nel caso il vostro server accetti ancora l’insicuro SSLv2. Per l’installazione del webserver e la configurazione di openssl potete consultare questa guida.

Editiamo questo file, se non esiste possiamo crearlo:

vi /etc/apache2/conf.d/ssl.conf

SSLProtocol -All +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXPRestart

Ora possiamo riavviare il webserver:

/etc/init.d/apache2 restart

Per verificare che venga correttamente utilizzato SSLv3:

openssl s_client -connect localhost:443 -ssl3 -no_ssl2

Dovremmo ottenere qualcosa del genere:

—
SSL handshake has read 1464 bytes and written 317 bytes
—
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit

Per essere sicuri che il nostro server non accetti connessioni con il vecchio protocollo, possiamo forzare il comando openssl a connettersi con la versione 2:

openssl s_client -connect localhost:443 -ssl2 -no_ssl3

Questo messaggio d’errore ci assicura che il nostro webserver accetta solo connessioni SSLv3:

CONNECTED(00000003)
3374:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: