Habilitando la compresión SSLC en apache

Navega tus respuestas
1

Estoy intentando habilitar SSLCompression en apache (localhost) para realizar pruebas.

Mi versión de Apache es 2.4.18 y he agregado la línea SSLCompression on tanto en el archivo apache2.conf como en mi archivo .htaccess . Pero todavía no puedo habilitarlo.

He descargado la siguiente versión de openssl enlace

Estoy usando openssl para generar los certificados y probarlo. Cuando ejecuto el comando 

apps/openssl s_client -connect localhost:443

Recibo la siguiente respuesta 

SSL handshake has read 2625 bytes and written 310 bytes
Verification error: self signed certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:

donde dice que no tengo habilitada la compresión. ¿Alguien puede decirme dónde estoy haciendo mal?

FYI He habilitado los módulos mod_rewrite y mod_deflate en apache2.

    
pregunta Mohammed Fawzan 19.09.2016 - 15:43
fuente

1 respuesta

2

De acuerdo con notas de la versión de OpenSSL 1.1.0 :

  

Protección CRIME: deshabilita la compresión de forma predeterminada, incluso si OpenSSL es        compilado con zlib habilitado. Las aplicaciones todavía pueden habilitar la compresión        llamando a SSL_CTX_clear_options (ctx, SSL_OP_NO_COMPRESSION), o por        utilizando la biblioteca SSL_CONF para configurar la compresión.

Como consecuencia, OpenSSL debe compilarse con la buena opción y Apache debe habilitar la compresión de la manera correcta ...

Le sugiero que use una rama anterior compilada previamente con la opción zlib. Por ejemplo, usando Ubuntu 16.04: 

cd /tmp
sudo apt-get build-dep openssl
sudo apt install zlib1g-dev zlibc
apt-get source openssl
cd openssl-1.0.2g/
sed -i -e "s/no-zlib/zlib/g" debian/rules
dpkg-buildpackage -rfakeroot -uc -b
cd ..
sudo dpkg -i libssl1.0.0_1.0.2g-1ubuntu4.2_amd64.deb libssl-dev_1.0.2g-1ubuntu4.2_amd64.deb openssl_1.0.2g-1ubuntu4.2_amd64.deb

Esto, mantener SSLCompression on en Apache, debería hacer el truco, creo.

EDIT : después de la prueba, parece estar funcionando: 

root@test# echo "" | openssl s_client -connect 127.0.0.1:443 | grep zlib
...
Compression: zlib compression
Expansion: zlib compression
    Compression: 1 (zlib compression)
DONE
    
respondido por el Jyo de Lys 22.09.2016 - 16:34
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las configuraciones de seguridad posibles de un iPhone iOS para la máxima seguridad posible? ¿Son seguros los administradores de contraseñas portátiles?