Centos 7에서 TLSv1 및 RC4-SHA 지원을 제거해야 합니다.
내 ssl.conf에 다음 줄이 있습니다
SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"
그리고 이 명령을 사용하여 RC4 및 TLSv1이 여전히 지원되는지 확인하고 있습니다.
sslscan --no-failed xxx.xxx.xxx.xxx:1337
sslscan은 나에게 다음과 같은 결과를 주었다:
Supported Server Cipher(s):
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 128 bits DES-CBC3-SHA
**Accepted TLSv1 128 bits RC4-SHA**
Accepted TLS11 256 bits AES256-SHA
Accepted TLS11 256 bits CAMELLIA256-SHA
Accepted TLS11 128 bits AES128-SHA
Accepted TLS11 128 bits CAMELLIA128-SHA
Accepted TLS11 128 bits DES-CBC3-SHA
**Accepted TLS11 128 bits RC4-SHA**
Accepted TLS12 256 bits AES256-GCM-SHA384
Accepted TLS12 256 bits AES256-SHA256
Accepted TLS12 256 bits AES256-SHA
Accepted TLS12 256 bits CAMELLIA256-SHA
Accepted TLS12 128 bits AES128-GCM-SHA256
Accepted TLS12 128 bits AES128-SHA256
Accepted TLS12 128 bits AES128-SHA
Accepted TLS12 128 bits CAMELLIA128-SHA
Accepted TLS12 128 bits DES-CBC3-SHA
**Accepted TLS12 128 bits RC4-SHA**
분명히 RC4-SHA는 여전히 허용되며 RC4 및 TLSv1을 지원하지 않도록 구성하려고 합니다. 이 문제를 해결하는 방법이 있나요?
답변1
귀하의 구성은 Apache v2.2 및 v2.4 모두에서 새로 설정된 가상 호스트에서 사용할 때 작동합니다. 그래서 나는 당신이 뭔가 다른 잘못을 하고 있는 것이 아닐까 걱정됩니다.
- Apache를 다시 시작하지 않았습니다.
- 테스트 중인 URL이 어떻게든 잘못되었습니다.
- 찾지 못한 충돌하는 구성이 있습니다(@garethTheRed가 언급한 대로).
다음을 수행하는 것이 좋습니다.
- 실행 중인 구성을 확인하기 위해 Apache에 대해 전체 중지/시작을 실행합니다(Apache가 중간에 실행되고 있지 않은지 확인).
apachectl -S가상 호스트를 실행 하고 확인하세요. 확실하지 않은 경우 질문에 결과를 입력하세요.- 새로운 기본 SSL 가상 호스트를 설정하고 테스트하여 모든 것이 괜찮은지 확인하세요.
또한 암호 목록을 다음과 같이 보다 안전한 것으로 변경하는 것이 좋습니다.
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
이 암호 목록은 다음에서 가져왔습니다.https://cipherli.st/