无法在Apache + mod_nss中禁用mod_nss

Question

我试图通过mod_nss在Apache中实现TLS (RHEL 7)。根据文档，我已经安装了mod_nss并删除了mod_ssl。

我遵循了文档中概述的步骤(请参阅上面的链接)，特别是确保NSSProtocol指令如下(根据文档，这将禁用除TLS版本1及更高版本以外的所有SSL和TLS协议版本)：

NSSProtocol TLSv1.0,TLSv1.1

然后我重新启动了Apache，并测试了是否启用了SSLv3：

openssl s_client -connect localhost:443 -ssl3

返回：

[root@box1 ~]# openssl s_client -connect localhost:443 -ssl3
CONNECTED(00000003)
139894684407712:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1442107224
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---
[root@box1 ~]# 

正如您所看到的，握手完成了(如SSL握手已经读取了5个字节，写了7个字节)，这让我怀疑SSLv3是否真的被禁用了。

我花了无数个小时寻找解决方案，但是我找到的所有东西都告诉我如何通过mod_ssl而不是mod_nss禁用mod_ssl。

任何想法或澄清将是非常欢迎的。

Answer 1

没有发生什么不好的事情，因为您有一个握手错误：

错误:1408F10B:SSL routines:SSL3_GET_RECORD:wrong版本号

客户机/服务器如何在不发送字节的情况下判断版本号是错误的？

从命令中删除-ssl3，您将看到不同之处：

SSL握手已读取4493字节，写入了499字节。

另外，如果建立了连接，s_client将等待您的输入将其传输到服务器。没有连接，它就会返回。