Centos 7 で TLSv1 と RC4-SHA のサポートを削除する必要があります。
私のssl.confには以下の行があります
SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"
そして、このコマンドを使用してRC4とTLSv1がまだサポートされているかどうかを確認しています
sslscan --no-failed xxx.xxx.xxx.xxx:1337
sslscan は次の結果を示しました:
Supported Server Cipher(s):
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 128 bits DES-CBC3-SHA
**Accepted TLSv1 128 bits RC4-SHA**
Accepted TLS11 256 bits AES256-SHA
Accepted TLS11 256 bits CAMELLIA256-SHA
Accepted TLS11 128 bits AES128-SHA
Accepted TLS11 128 bits CAMELLIA128-SHA
Accepted TLS11 128 bits DES-CBC3-SHA
**Accepted TLS11 128 bits RC4-SHA**
Accepted TLS12 256 bits AES256-GCM-SHA384
Accepted TLS12 256 bits AES256-SHA256
Accepted TLS12 256 bits AES256-SHA
Accepted TLS12 256 bits CAMELLIA256-SHA
Accepted TLS12 128 bits AES128-GCM-SHA256
Accepted TLS12 128 bits AES128-SHA256
Accepted TLS12 128 bits AES128-SHA
Accepted TLS12 128 bits CAMELLIA128-SHA
Accepted TLS12 128 bits DES-CBC3-SHA
**Accepted TLS12 128 bits RC4-SHA**
どうやら RC4-SHA はまだ受け入れられているようですが、私は RC4 と TLSv1 をサポートしないように設定しようとしています。これを解決する方法はありますか?
答え1
あなたの設定は、Apache v2.2 と v2.4 の両方で新しくセットアップした仮想ホストで使用すると機能します。したがって、何か他の間違いを犯しているに違いありません。
- Apacheを再起動していない
- テストしているURLが間違っているようです
- 見つけられなかった競合する設定があります(@garethTheRed が言及したとおり)
次のことを実行することをお勧めします。
- 実行中の設定を確認するために、Apache の完全な停止/開始を実行します (Apache が途中で実行されていないことを確認してください)。
- 仮想ホストを実行し
apachectl -Sて検証します。不明な場合は、質問に出力を記載してください。 - 新しい基本的なSSL仮想ホストを設定し、すべてが正常であることを確認するためにテストします。
また、暗号リストをより安全なものに変更することをお勧めします。
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
この暗号リストはhttps://cipherli.st/