저는 오늘 계속 업데이트하는 다음 암호를 사용하고 있습니다. 불완전한 부분이 있어도 걱정하지 마세요. AES128을 비활성화하도록 도와주세요.
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128
아직도 이것을 사용하고 있습니다:
TLS_AES_128_GCM_SHA256 (0x1301)
궁금해하는 모든 분들을 위해, 모두의 도움 끝에 저는 이것을 달성했습니다. 제 생각에는 이 SSL Conf가 대부분의 장치를 지원하는 Apache에서 얻을 수 있는 가장 안전한 것처럼 보이며 ssllabs.com에서 100%를 달성할 수 있습니다.
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"
<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>
필요에 따라 로그 파일 위치를 조정하십시오. 그리고 취약점이 있으면 알려주세요 :)
정보:
이 구성은 4096비트 인증서에만 적용되었습니다. 2048비트에 맞게 조정할 수 있습니다.
답변1
일반 SSLCipherSuite옵션은 TLS 1.2 이하의 암호만 설정합니다. TLS_AES_128_GCM_SHA256그러나 TLS 1.3 암호이며 TLS 1.2 암호 문자열로 숨겨지지 않습니다. TLS 1.3 암호를 설정하려면 프로토콜을 명시적으로 지정하십시오. 즉:
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384