是否禁用SSL2.0但不更新SSL 2.0+？Apache 2.x

Question

背景:我在一台专用服务器(linux)上运行了一次安全检查，现在我使用的是：https://www.ssllabs.com/ssldb/index.html。上面说我的SSL协议是：

协议

- TLS 1.2  No
- TLS 1.1  No
- TLS 1.0  Yes
- SSL 3.0  Yes
- SSL 2.0+ Yes upgrade support
- SSL 2.0  Yes INSECURE

我要向服务器添加一个SSL证书，所以我想我应该在那里修复它。我对虚拟主机管理是个新手，所以解释对我很有用。

我的问题:首先，什么是SSL 2.0+升级支持？其次，我可以禁用SSL2.0而不禁用SSL2.0+吗？我的Apache2.x当前的SSLCipherSuite设置为：

SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

如果我将其更改为

SSLCipherSuite All:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:-SSLv2:+EXP:+eNULL

它能实现我的目标吗？

提前感谢！(第一篇！)

Answer 1

你把SSL 2.0+ upgrade support误认为它不是的东西。

这意味着服务器支持旧的SSL2.0风格的握手，这种握手后来被扩展为允许以旧的2.0风格发起连接，但让客户端指定它无论如何都要与SSL 3.0对话。It is not a security issue and you can leave it enabled as long as you intend to provide SSL 3.0 support.

此外，这整件事不是关于密码套件，而是关于协议版本。

To leave everything Apache supports enabled except SSL 2.0, use：SSLProtocol all -SSLv2

Answer 2

首先，什么是SSL 2.0+升级支持？我发现SSL 2.0+只是SSL2.0，但支持正确处理重新协商漏洞。

第二，我可以禁用SSL2.0而不禁用SSL 2.0+吗？答案很简单:我不知道。SSL2.0+甚至没有在这些评估的网站文档中定义。据我所知，SSL只是一个迹象，表明2.0+是否有能力处理修复重新协商漏洞的更新。

将SSLCipherSuite更改为关闭SSLv2将实现我的目标，即关闭SSL2.0不安全，但它也会关闭SSL 2.0+。