开发者社区> 云勺> 正文

Apache2.2.x版本不支持PFS,无法通过ATS的问题

简介:
+关注继续查看

有人提问,存在Apache配置Https,不能通过苹果的ATS检测问题,配置(完全正向加密)不能生效。通过查询,网上有较多相同的问题,但是没有很好的解答,最后通过排查

定位问题在Apache2.2版本上,对前向安全支持性不好。

image

image

访问存在不能支持PFS的Web应用,查看得到的密码套件信息:
image

访问可以通过ATS测试的Web应用,查看得到的密码套件信息,主要差别在于对ECDHE的支持:

image

搜索类似的相关问题,在中文站点找到一些相同情况的问题,但是都没有给出有效的方案,或者给出的方案不能解决问题:
image
image

开测试机进行测试,编译安装客户的Apache版本2.2.25,并且配置SSl进行测试。

这里Apache编译安装以及加入SSL模块还是有几个主要注意的点的。
1、需要apt-get install openssl libssl-dev,否则会提示找不到SSL、TLS的ToolKit。

2、出现下图的报错,需要修改Apache代码解决。

image

image
部署完成Apache2.2.25,并且开启SSL后,测试访问https。
在没有任何设置的情况下,不支持前向安全:
image

image

配置SSLCipherSuite项,指定ECDHE加密套件,仍然是不支持前向安全,这样就复现了提问者的问题:

image

在Google中使用英文将该问题进行描述,找到几篇相关问题的记录,时间都在2013年,提到Apache2.2.X版本不支持ECDHE和前向安全的问题:
image
image
image
image
于是进行版本测试比对,测试Apache2.4,直接apt install apache2的结果就是2.4版本的。

开启https后,上传测试证书,进行访问,通过查看是支持PSF(完美前向安全)的(套件携带ECDHE、通过ATS检测):

image

image
通过上述的一些测试和资料查找,基本确定该提问者碰到的问题是由于Apache版本问题造成的。

后来有人告诉我,有资料说可以在2.2环境下合规(下面资料中所示):
https://scottlinux.com/2013/06/26/how-to-enable-perfect-forward-secrecy-in-apache-on-linux/

image

但是根据提示进行配置,似乎不能通过检查,且不能正常访问:
image
image

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
麒麟安装增强功能失败(未解决):Could not downgrade policy file /etc/selinux/targeted/policy/policy.29
麒麟安装增强功能失败(未解决):Could not downgrade policy file /etc/selinux/targeted/policy/policy.29
44 0
基于ES 7.x 客户端:Java High Level Rest clients及Transport Client 兼容性、性能对比、使用方法
基于ES 7.x 客户端:Java High Level Rest clients及Transport Client 兼容性、性能对比、使用方法
215 0
检测.a或.framework是否支持bitcode
检测.a或.framework是否支持bitcode
59 0
DBPack SQL Tracing 功能及数据加密功能详解
在 v0.1.0 版本我们发布了分布式事务功能,支持各种编程语言协调分布式事务。 在 v0.2.0 版本我们发布了读写分离功能,用户在开启读写分离功能的情况下,使用分布式事务协调功能不再需要做复杂的集成,DBPack 提供了一站式的解决方案。 在 v0.3.0 版本,我们加入 SQL Tracing 的功能,使用该功能可以收集到一个完整的分布式事务链路,查看事务的执行情况。我们还加入了数据加密功能,通过该功能保护用户的重要数据资产。
53 0
版本通告|Apache Doris 0.15 Release 版本正式发布!
亲爱的社区小伙伴们,历时数个月精心打磨,我们很高兴地宣布, Apache Doris 于 2021 年 11 月 29 日迎来了 0.15.0 Release 版本的正式发布!有 99 位 Contributor 为 Apache Doris 提交了近 700 项优化和修复,在此我们也对所有贡献者表示最真诚的感激!
234 0
深入MongoDB4.2新特性:字段级加密 Client-Side Field Level Encryption
深入MongoDB4.2新特性:字段级加密 Client-Side Field Level Encryption
4587 0
spark支持2.4.3版本
信息摘要: 该版本主要发布spark-connectors 1.0.4版本,升级spark内核到社区最新稳定版本2.4.3适用客户: 企业客户/个人开发者版本/规格功能: 该版本主要发布spark-connectors 1.
751 0
最新同步问题IOS10安全策略变更,native app需要增加alipays协议白名单
在IOS10里,由于安全策略的变化,导致在native app里,在webview中,默认不支持appschema协议(IOS10之前默认支持)。  如果需要支持,需要将此appschema加入白名单中,因此如果某个nativeapp 需要在webview中通过alipays://xxxx 的方式唤起支付宝app,请在 Info.
464 0
IOS10安全策略变更,native app需要增加alipays协议白名单
问题:   由于iOS10安全策略的变化,Native APP的WebView默认不支持app_scheme协议(iOS10之前默认支持)。 这将导致在WebView中无法通过alipays://xxxx的方式来唤起支付宝App。
728 0
windows 本地测试spark streaming + kafka direct api
windows 本地测试spark streaming + kafka direct api 卡在如下信息出: “Kafka scala consumer marked as dead for group” 1.环境: kafka server为集群,连接时使用的是hostname:9092方法去连接,程序也不报错, 就是卡在上面的信息出,没有输出。
1474 0
+关注
云勺
一只[开发|安全|运维]汪? 个人博客https://www.yourhome.ren
文章
问答
视频
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载