Estoy usando el siguiente cifrado, que sigo actualizando hoy, no te preocupes si hay algún código incompleto en él. Solo ayúdame a desactivar AES128.
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128
Todavía está usando esto:
TLS_AES_128_GCM_SHA256 (0x1301)
Para todos los que se preguntan, después de la ayuda de todos, he logrado esto, esta SSL Conf me parece la más segura que puede obtener en Apache, compatible con la mayoría de los dispositivos, y puede lograr el 100% en ssllabs.com:
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"
<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>
Ajuste el lugar del archivo de registro según sus necesidades. Y notifique si hay alguna vulnerabilidad presente :)
Información:
Esta configuración solo se realizó para certificados de 4096 bits. Puedes ajustarlo para los de 2048 bits.
Respuesta1
La opción normal SSLCipherSuitesolo establece los cifrados para TLS 1.2 y versiones anteriores. TLS_AES_128_GCM_SHA256Sin embargo, es un cifrado TLS 1.3 y no está oculto por la cadena de cifrado TLS 1.2. Para configurar cifrados TLS 1.3, especifique explícitamente el protocolo, es decir:
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384