TLSv1 und RC4-SHA können nicht deaktiviert werden

tag-icon tag-icon centos security apache-httpd ssl
TLSv1 und RC4-SHA können nicht deaktiviert werden

Ich muss die TLSv1- und RC4-SHA-Unterstützung in Centos 7 entfernen.

Ich habe diese Zeilen in meiner ssl.conf

SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

Und ich überprüfe mit diesem Befehl, ob RC4 und TLSv1 noch unterstützt werden

sslscan --no-failed xxx.xxx.xxx.xxx:1337

sslscan hat mir dieses Ergebnis geliefert:

Supported Server Cipher(s):

Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  256 bits  CAMELLIA256-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  128 bits  CAMELLIA128-SHA
Accepted  TLSv1  128 bits  DES-CBC3-SHA
**Accepted  TLSv1  128 bits  RC4-SHA**
Accepted  TLS11  256 bits  AES256-SHA
Accepted  TLS11  256 bits  CAMELLIA256-SHA
Accepted  TLS11  128 bits  AES128-SHA
Accepted  TLS11  128 bits  CAMELLIA128-SHA
Accepted  TLS11  128 bits  DES-CBC3-SHA
**Accepted  TLS11  128 bits  RC4-SHA**
Accepted  TLS12  256 bits  AES256-GCM-SHA384
Accepted  TLS12  256 bits  AES256-SHA256
Accepted  TLS12  256 bits  AES256-SHA
Accepted  TLS12  256 bits  CAMELLIA256-SHA
Accepted  TLS12  128 bits  AES128-GCM-SHA256
Accepted  TLS12  128 bits  AES128-SHA256
Accepted  TLS12  128 bits  AES128-SHA
Accepted  TLS12  128 bits  CAMELLIA128-SHA
Accepted  TLS12  128 bits  DES-CBC3-SHA
**Accepted  TLS12  128 bits  RC4-SHA**

Anscheinend wird RC4-SHA immer noch akzeptiert, obwohl ich versuche, es so zu konfigurieren, dass RC4 und TLSv1 nicht unterstützt werden. Gibt es eine Möglichkeit, dieses Problem zu lösen?

Antwort1

Ihre Konfiguration funktioniert, wenn ich sie in einem neu eingerichteten virtuellen Host sowohl auf Apache v2.2 als auch v2.4 verwende. Ich befürchte also, dass Sie etwas anderes falsch machen.

  1. Sie haben Apache nicht neu gestartet
  2. Die URL, die Sie testen, ist irgendwie falsch
  3. Sie haben eine widersprüchliche Konfiguration, die Sie nicht gefunden haben (wie @garethTheRed erwähnt hat).

Ich schlage vor, dass Sie Folgendes tun:

  1. Führen Sie einen vollständigen Stopp/Start für Apache aus (stellen Sie sicher, dass Apache zwischendurch nicht ausgeführt wird), um sicherzugehen, dass Ihre laufende Konfiguration
  2. Führen Sie apachectl -SIhre virtuellen Hosts aus und überprüfen Sie sie. Wenn Sie sich nicht sicher sind, fügen Sie die Ausgabe in Ihre Frage ein.
  3. Richten Sie einen neuen Barebones-SSL-Virtualhost ein und testen Sie ihn, um sicherzustellen, dass alles in Ordnung ist

Ich würde auch vorschlagen, die Verschlüsselungsliste durch etwas Sichereres zu ersetzen, wie zum Beispiel

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

Diese Chiffreliste stammt aushttps://cipherli.st/

verwandte Informationen