web-dev-qa-db-ja.com

Apache 2.2.xでSSL / TLS圧縮を無効にする

Mod_sslを使用するときにApache 2.2.xでSSL/TLS圧縮を無効にする方法はありますか?

そうでない場合、古いブラウザでのCRIME/BEASTの影響を軽減するために人々は何をしていますか?

関連リンク:

  1. https://issues.Apache.org/bugzilla/show_bug.cgi?id=53219
  2. https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-Hijack-https-sessions-090512
  3. https://security.stackexchange.com/questions/19911/crime-how-to-beat-the-beast-successor
10
DevGav

SSLCompression off 2.2.24以降を使用している場合

そうでない場合は、OPENSSL_NO_DEFAULT_ZLIB OpenSSLで圧縮を強制的にオフにする環境変数-参照 この質問

14
Shane Madden