Ich habe die folgenden Einstellungen ausprobiert, um die CBC-Chiffre-Suiten im Apache-Server zu entfernen.
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
Nach einigen erneuten Tests sind die CBC-Chiffre-Suiten in meinem Apache immer noch aktiviert. Ich bin mir nicht sicher, welche Suiten ich entfernen/hinzufügen soll?
Antwort1
Es ist eine häufige Falle mit der TLS-Bibliothek, die Ihre Apache-Installation verwendet, OpenSSL, die ihre Cipher Suites nicht nach ihrenvollständiger IANA-Nameaber oft eine vereinfachte, die oft den verwendeten Verkettungsmodus auslässt. Das ist eine schlechte Idee und ich glaube nicht, dass sie das bei neu hinzugefügten Suiten noch machen.
Ihre Konfiguration erfordert noch einige CBC-Suiten, es gibt beispielsweise ECDHE-ECDSA-AES256-SHA384, das eigentlich TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ist. Jede AES-Suite, die keinen Verkettungsmodus angibt, verwendet wahrscheinlich CBC in OpenSSL (und damit Apache).
Sie können sie einzeln jagen und dabeihttps://ciphersuite.info/cs/?sort=asc&security=all&singlepage=true&tls=tls12&software=openssloder die von mir empfohlene Option, den Mozilla SSL Configuration Generator zu verwenden, um schnell eine nachweislich gut funktionierende Konfiguration zu erhalten (https://ssl-config.mozilla.org/). Um zu verhindern, dass der Generator CBC-Suiten einschließt, wählen Sie als Einstellung „Mittelstufe“ und „Alt“, damit einige CBC-Suiten einbezogen werden, um sehr alten Clients die Verbindung zu ermöglichen.