No se puede desactivar TLSv1 y RC4-SHA

tag-icon tag-icon centos security apache-httpd ssl
No se puede desactivar TLSv1 y RC4-SHA

Necesito eliminar la compatibilidad con TLSv1 y RC4-SHA en Centos 7.

Tengo estas líneas en mi ssl.conf

SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

Y estoy comprobando si RC4 y TLSv1 todavía son compatibles con este comando

sslscan --no-failed xxx.xxx.xxx.xxx:1337

sslscan me dio este resultado:

Supported Server Cipher(s):

Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  256 bits  CAMELLIA256-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  128 bits  CAMELLIA128-SHA
Accepted  TLSv1  128 bits  DES-CBC3-SHA
**Accepted  TLSv1  128 bits  RC4-SHA**
Accepted  TLS11  256 bits  AES256-SHA
Accepted  TLS11  256 bits  CAMELLIA256-SHA
Accepted  TLS11  128 bits  AES128-SHA
Accepted  TLS11  128 bits  CAMELLIA128-SHA
Accepted  TLS11  128 bits  DES-CBC3-SHA
**Accepted  TLS11  128 bits  RC4-SHA**
Accepted  TLS12  256 bits  AES256-GCM-SHA384
Accepted  TLS12  256 bits  AES256-SHA256
Accepted  TLS12  256 bits  AES256-SHA
Accepted  TLS12  256 bits  CAMELLIA256-SHA
Accepted  TLS12  128 bits  AES128-GCM-SHA256
Accepted  TLS12  128 bits  AES128-SHA256
Accepted  TLS12  128 bits  AES128-SHA
Accepted  TLS12  128 bits  CAMELLIA128-SHA
Accepted  TLS12  128 bits  DES-CBC3-SHA
**Accepted  TLS12  128 bits  RC4-SHA**

Aparentemente, todavía se acepta RC4-SHA, que estoy intentando configurar para que no admita RC4 ni TLSv1. ¿Hay alguna manera de resolver esto?

Respuesta1

Su configuración funciona cuando la uso en un host virtual recién configurado tanto en Apache v2.2 como en v2.4. Entonces me temo que debes estar haciendo algo más mal.

  1. No reiniciaste Apache
  2. La URL que estás probando es incorrecta de alguna manera
  3. Tienes una configuración conflictiva que no encontraste (como mencionó @garethTheRed)

Te sugiero que hagas lo siguiente:

  1. Ejecute una parada/inicio completo para Apache (asegurándose de que Apache no se esté ejecutando en el medio), solo para asegurarse de su configuración en ejecución.
  2. Ejecute apachectl -Sy verifique sus hosts virtuales. Coloque el resultado en su pregunta si no está seguro.
  3. Configure un nuevo host virtual SSL básico y pruébelo para asegurarse de que todo esté bien

También sugeriría cambiar la lista de cifrado a algo más seguro, como

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

Esta lista de cifrado fue tomada dehttps://cipherli.st/

información relacionada