السلام عليكم ورحمة الله وبركاته
هذه واحدة من المشاكل التي وجدتها بعد الفحص الخارجي الذي قمت به من أجل متطلبات الـ PCI Compliance الأسبوع الماضي … على الرغم من كون أغلب المتصفحات اليوم تقوم بإستعمال TLSv1 الأقوى و SSLv3 ولكن مع هذا يجب عمل تعطيل كامل لـ SSLv2 ولهذا ما لنا سوى تنفيذ الحلول :)
عملية ترقيع هذه المشكلة بسيطة للغاية …
بالبداية أبحث في ملف httpd.conf أو ssl.conf عن التوجيه SSLCipherSuite ومن ثم غييره الى التالي:
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
هكذا في السطر الأول قمنا بتعطيل جميع البروتوكولات من خلال إشارة – وفعلنا فقط SSLv3 و TLSv1 … في السطر الثاني قمنا بتفعيل جميع المشفرات المتوسطة والعالية وقمنا بإيقاف عمل الضعيفة منها …
الآن كل الذي عليك فعله هو إعادة تشغيل خادم الأباتشي … للتأكد بإن SSLv2 لا يعمل الآن؟ تابع في الموضوع القادم بعنوان:
Howto Check What SSL Protocol Version & Ciphers a Domain is Using
السبب في كتابته في موضوع منفصل، وهو لأن له علاقة بمواضيع كثيرة سيتم كتابتها قريباً إن شاء الله ولكي يكون مرجع لهذه المواضيع ولنا جميعاً :)
دمتم بود …
