私は次の暗号を使用しています。これは現在も更新し続けています。不完全な部分があっても心配しないでください。AES128 を無効にするのを手伝ってください。
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128
これはまだ使用されています:
TLS_AES_128_GCM_SHA256 (0x1301)
疑問に思っている皆さんへ、皆さんの助けのおかげで、私はこれを実現しました。この SSL Conf は、Apache で実現できる最も安全な方法のように思えます。ほとんどのデバイスがサポートされており、ssllabs.com で 100% を実現できます。
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"
<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>
ログファイルの場所は必要に応じて調整してください。脆弱性が存在する場合はお知らせください :)
情報:
この設定は 4096 ビットの証明書専用です。2048 ビットの証明書用に調整できます。
答え1
通常のSSLCipherSuiteオプションは、TLS 1.2 以下の暗号のみを設定します。TLS_AES_128_GCM_SHA256ただし、これは TLS 1.3 暗号であり、TLS 1.2 暗号文字列によって隠蔽されることはありません。TLS 1.3 暗号を設定するには、プロトコルを明示的に指定します。例:
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384