Deshabilite SSLv3 en Apache2 en una instalación limpia de ubuntu 14.04.1 Server

Tengo una nueva instalación del servidor ubuntu versión 14.04.1 Tengo apache2 con SSL habilitado. Quiero desactivar SSLv3

(Soy consciente de que esta es una pregunta popular, pero he rastreado todas las demás respuestas en varios sitios y creo que he seguido todos los pasos que sugieren).

Cuando uso el comando:

nmap --script ssl-enum-ciphers -p 443 MYDOMAIN.com 

Puedo ver dos conjuntos de cifrados. Un SSLv3 y un TLSV1.0

Tengo el módulo SSL habilitado y su archivo de configuración es /etc/apache2/mods-enabled/ssl.conf

Lo he alterado cambiando la línea.

 SSLProtocol all 

a

 SSLProtocol All -SSLv2 -SSLv3 

De toda la documentación y los tutoriales web, esto debería deshabilitar SSLv3.

Reinicio apache con el comando

 sudo service apache2 restart 

Pero no hay cambio. SSLv3 aún está en la lista.

He intentado detener el servidor y volver a ejecutar el comando para asegurarme de que no estoy comprobando accidentalmente el servidor incorrecto. Como era de esperar el resultado cambia.

¿Alguien puede sugerir qué error estoy cometiendo?

Robert

Mi versión exacta de Ubuntu:

 root@xxxx:/etc/apache2/mods-enabled# lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 14.04.1 LTS Release: 14.04 Codename: trusty 

Mi versión exacta de apache2:

 root@xxxx:~# apache2 -v Server version: Apache/2.4.7 (Ubuntu) Server built: Jul 22 2014 14:36:38 

Mi versión exacta de openssl:

 root@xxxx:~# openssl version OpenSSL 1.0.1f 6 Jan 2014 

Referencias:

 http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslprotocol 

Encontré que tenía otros archivos de configuración que anularon la opción.

Fue posible encontrar los archivos ejecutando:

 cd /etc/apache2 grep -r "SSLProto" . 

SSLv2 ya no es compatible.

Por lo tanto

 SSLProtocol All -SSLv2 -SSLv3 

no funcionará

 SSLProtocol All -SSLv3 

será

en su archivo de configuración de apache use la siguiente configuración:

 SSLProtocol ALL -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS 

luego reinicie su apache y revise su sitio en

https://www.ssllabs.com/ssltest/analyze.html?d=www.yourfancysite.com

Me dio el grado A (a partir de julio de 2017), mientras que con mi configuración anterior solo tuve F 🙂

Créditos para:

https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/