如何配置Apache mod_ssl的SSLProxyCheckPeerCN以避免后端SSL中间人攻击?
- 内容介绍
- 文章标签
- 相关推荐
本文共计779个文字,预计阅读时间需要4分钟。
SSLProxyCheckPeerCN已失效,无法用于防止中间人截获,强行保留会导致Apache启动失败。
为什么 SSLProxyCheckPeerCN 不再起作用
该指令在 Apache 2.4.8 中被标记为废弃,2.4.26 起彻底移除。你现在写入配置文件,Apache 会直接报错:Invalid command 'SSLProxyCheckPeerCN', perhaps misspelled or defined by a module not included in the server configuration。根本原因在于:仅校验证书 CN 字段不安全——它忽略 SAN(Subject Alternative Name),不支持通配符精确匹配,且易被伪造证书绕过。
替代方案:必须用 SSLProxyCheckPeerName + SSLProxyVerify require
现代 Apache 唯一有效的后端主机名校验机制是 SSLProxyCheckPeerName on,它严格按 RFC 6125 规则检查证书的 SAN 字段(优先)或回退到 CN(不推荐)。
本文共计779个文字,预计阅读时间需要4分钟。
SSLProxyCheckPeerCN已失效,无法用于防止中间人截获,强行保留会导致Apache启动失败。
为什么 SSLProxyCheckPeerCN 不再起作用
该指令在 Apache 2.4.8 中被标记为废弃,2.4.26 起彻底移除。你现在写入配置文件,Apache 会直接报错:Invalid command 'SSLProxyCheckPeerCN', perhaps misspelled or defined by a module not included in the server configuration。根本原因在于:仅校验证书 CN 字段不安全——它忽略 SAN(Subject Alternative Name),不支持通配符精确匹配,且易被伪造证书绕过。
替代方案:必须用 SSLProxyCheckPeerName + SSLProxyVerify require
现代 Apache 唯一有效的后端主机名校验机制是 SSLProxyCheckPeerName on,它严格按 RFC 6125 规则检查证书的 SAN 字段(优先)或回退到 CN(不推荐)。