En Apache 2.4, mi vhost incluye lo siguiente:
SSLCertificateFile /etc/letsencrypt/live/qualification.teamagora.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/qualification.teamagora.com/privkey.pem
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM
SSLHonorCipherOrder on
SSLCompression off
lo que debería desactivar el cifrado RC4...
Sin embargo, SSLLabs muestra que el siguiente cifrado está disponible.
TLS_RSA_WITH_RC4_128_MD5 (0x4) INSECURE 128
TLS_RSA_WITH_RC4_128_SHA (0x5) INSECURE 128
TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011) INSECURE 128
¿Dónde puedo desactivar RC4 por completo?
¿Por qué no se tiene en cuenta el archivo de configuración de vhost (reinicié el servicio apache2)?
Respuesta1
Tu SSLCipherSuiteno desactiva RC4. Debería parecerse más a:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW
Deberías seguir Configuraciones recomendadas de Mozilla, ya que una configuración TLS segura es más que desactivar RC4. Encontrarás en el artículo un enlace al Generador de configuración SSL de Mozilla eso facilita la configuración de conjuntos de cifrado adecuados por tipo de servidor y navegador.