Ich verwende die folgende Chiffre, die ich heute ständig aktualisiere. Machen Sie sich keine Sorgen, wenn sie unvollständig ist. Helfen Sie mir einfach, AES128 zu deaktivieren.
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128
Es wird immer noch Folgendes verwendet:
TLS_AES_128_GCM_SHA256 (0x1301)
Für alle, die es interessiert: Mit der Hilfe von allen habe ich es geschafft. Diese SSL-Konfiguration scheint mir die sicherste zu sein, die man in Apache bekommen kann. Die meisten Geräte werden unterstützt und man kann in ssllabs.com 100 % erreichen:
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"
<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>
Passen Sie den Speicherort der Protokolldatei Ihren Bedürfnissen an. Und melden Sie bitte, wenn Schwachstellen vorhanden sind :)
Die Info:
Diese Konfiguration wurde nur für 4096-Bit-Zertifikate vorgenommen. Sie können sie für 2048-Bit-Zertifikate anpassen.
Antwort1
Die normale SSLCipherSuiteOption setzt nur die Chiffren für TLS 1.2 und niedriger. TLS_AES_128_GCM_SHA256ist jedoch eine TLS 1.3-Chiffre und wird nicht durch die TLS 1.2-Chiffre-Zeichenfolge verdeckt. Um TLS 1.3-Chiffren zu setzen, geben Sie das Protokoll explizit an, d. h.:
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384