ฉันอ่านเกี่ยวกับการโจมตีCRIMEจากการบีบอัด TLS ( CVE-2012-4929 , CRIME เป็นผู้สืบทอดการโจมตี BEAST กับ ssl & tls) และฉันต้องการปกป้อง webservers ของฉันจากการโจมตีนี้โดยการปิดใช้งานการบีบอัด SSLซึ่งถูกเพิ่มใน Apache 2.2.22 (ดูBug 53219 )
ฉันใช้ Scientific Linux 6.3 ซึ่งมาพร้อมกับ httpd-2.2.15 การแก้ไขความปลอดภัยสำหรับรุ่นอัปสตรีมของ httpd 2.2 ควรย้อนกลับไปที่เวอร์ชันนี้
# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64
# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built: Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9
ฉันลองปิด SSLCompressionในการกำหนดค่าของฉันแล้ว แต่ผลลัพธ์นั้นเกิดข้อผิดพลาดดังต่อไปนี้:
# /etc/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
[FAILED]
เป็นไปได้หรือไม่ที่จะปิดการใช้งาน SSLCompression ด้วย Apache Webserver เวอร์ชันนี้?