SSL versie 2 wordt al jaren niet meer standaard gebruikt, en is doorgaans alleen geïnstalleerd ter ondersteuning voor legacy-produkten. Het kan echter ook een aanzienlijk veiligheidsrisico vormen.
Op veel websites wordt SSL versie 3 nog wel gebruikt, maar ook hierin is onlangs een ernstig lek ontdekt. Ook in RC4 zijn kwetsbaarheden gevonden. Zodoende raden wij sterk aan om deze uit te schakelen. Dit kan in apache als volgt:
- Open ssl.conf (doorgaans te vinden in /etc/httpd; de exacte locatie hangt van het besturingssysteem af), pas de regels als volgt aan:
SSLProtocol ALL -SSLv2 -SSLv3SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!RC4+RSA:+HIGH:+MEDIUM
- Sla de wijzigingen op en herstart Apache
- Test of het is gelukt met het volgende commando SSLv2 (dit zou een foutmelding moeten geven als het gelukt is):
# openssl s_client -ssl2 -connect virtualhost:443
- Test ook SSLv3:
# openssl s_client -ssl3 -connect virtualhost:443
- Controleer of de sites nog wel goed werken met TLSv1:
# openssl s_client -tls1 -connect virtualhost:443
Raadpleeg de SSLCheck om te controleren of een website SSLv2 of SSLv3 toelaat.
