Deaktivieren Sie die SSL / TLS-Komprimierung in Apache 2.2.x.

Gibt es eine Möglichkeit, die SSL / TLS-Komprimierung in Apache 2.2.x zu deaktivieren, wenn mod_ssl verwendet wird?

Wenn nicht, was tun die Leute, um die Auswirkungen von CRIME / BEAST in älteren Browsern abzuschwächen?

Ähnliche Links:

https://issues.apache.org/bugzilla/show_bug.cgi?id=53219
https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512
/security/19911/crime-how-to-beat-the-beast-successor

— DevGav
quelle

Siehe auch serverfault.com/questions/455450/…

— Stefan Lasiewski

Antworten:

Sie können verwenden, SSLCompression offwenn Sie 2.2.24 oder höher verwenden .

Wenn nicht, können Sie die OPENSSL_NO_DEFAULT_ZLIBUmgebungsvariable so einstellen, dass die Komprimierung in OpenSSL deaktiviert wird - siehe diese Frage .

— Shane Madden
quelle

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.

Licensed under cc by-sa 3.0 with attribution required.