SSL 2.0を無効にしますが、SSL 2.0以降は更新しませんか？ Apache 2.x

Question

背景：専用のサーバ（linux）でセキュリティチェックを実行しました。これは、今使用している管理者：https://www.ssllabs.com/ssldb/index.htmlです。私は私がそこにいますしながら、私はそれを修正する必要があります理解してサーバにSSL証明書を追加するつもりです

プロトコル

- TLS 1.2 No 
- TLS 1.1 No 
- TLS 1.0 Yes 
- SSL 3.0 Yes 
- SSL 2.0+ Yes upgrade support 
- SSL 2.0 Yes INSECURE 

：それは私のSSLプロトコルがあると述べています。私はウェブホスティング管理には新しいので、説明が私にとって有益です。

私の質問：まずSSL 2.0+のアップグレードサポートとは何ですか？ 2番目にSSL 2.0を無効にし、SSL2.0 +を無効にできませんか？

いるSSLCipherSuite ALL：：私はApache 2.xでは、現在のいるSSLCipherSuite設定があります！ADH：！EXPORT56：RC4 + RSA：+ HIGH：+ MEDIUM：+ LOW：+ SSLv2の：+ EXP：+ eNULL

私は

いるSSLCipherSuiteすべてにそれを変更した場合：！ADH：！EXPORT56：RC4 + RSA：+ HIGH：+ MEDIUM：+ LOW：-SSLv2：+ EXP：+ eNULL

それが私の目標を達成するのだろうか？

ありがとうございます！ （最初の投稿！）

Answer 1

あなたは何かのために間違ってSSL 2.0+ upgrade supportを間違えています。

古いバージョン2.0のスタイルで接続を開始できるように拡張された古いSSL 2.0スタイルのハンドシェイクをサーバーがサポートしていることを意味します。クライアントはを実際にと言いたいと思っていました。 It is not a security issue and you can leave it enabled as long as you intend to provide SSL 3.0 support.

また、この全体のことはない暗号スイートが、プロトコルのバージョンについてです。

To leave everything Apache supports enabled except SSL 2.0, use： SSLProtocol all -SSLv2

Answer 2

最初にSSL 2.0+アップグレードサポートとは何ですか？ 私は、SSL 2.0+はSSL 2.0だけで、再ネゴシエーションの脆弱性を適切に処理するためのサポートがあることを発見しました。

2番目にSSL 2.0を無効にし、SSL 2.0+を無効にできませんか？ 簡単な答え：わからなかった。 SSL2.0 +は評価のWebサイトの文書でも定義されていません。私がSSL 2.0+に天気の兆候があるかどうかだけは分かりますが、opensslには再ネゴシエーションの脆弱性を修正したアップデートを処理する能力がありません。

SSLCipherSuiteを変更してSSLv2を無効にすると、SSL 2.0を無効にするという私の目標が達成されますが、SSL 2.0+も無効になります。