apache禁用sslv3协议

前言：SSLv3漏洞（CVE-2014-3566），SSL3.0版本被视为是不安全的。它使用RC4加密或CBC模式加密，前者易受偏差攻击，后者会导致POODLE攻击，在生产环境中，经常会扫描到此漏洞，针对此漏洞，需要apache服务器端停用SSLv3协议。

工具/原料

Linux

Apache

一、环境准备

1、理解SSL和TLS：http在数据传输过程中使用的是明文，为了解决这个问题https应运而生，ssl就是基于https的加密协议。当ssl趑虎钾缫更新到3.0版本后，IETF（互联网工程任务组）对ssl3.0进行了标准化，标准化后的协议就是TLS1.0，所以说TLS是SSL的标准化后的产物，TLS当前有1.0 ,1.1,1.2三个版本,默认使用1.0，到此我们对ssl和TLS有了一个基本的了解。

2、查看当前服务器apache版本,使用httpd -v查询openssl版本openssl version

二、漏洞整改

1、测试存在安全漏洞的域名，如下通过sslv3访问可以正常返回信息，攻击者可能会利用此漏洞危害系统。curl --sslv3 https://域名

2、apache默认支持SSLv3，TLSv1，TLSv1.1，TLSv1.2协议(注：ssl功能需要在茑霁酌绡http.conf中启用LoadModule ssl_module modules/mod_ssl.so)apache默认配置如下

3、进入目录/usr/local/apache/conf/extravi修改ssl.conf按照如下配置，目的是关闭sslv3协议配置保存后，需要service httpd restart重启apache使配置生效

4、再次测试sslv3访问，无法访问

5、通过google浏览器F12进入开发模式，可以看到浏览器访问当前域名使用的ssl协议为TLS1.2。