No Apache 2.4, meu vhost inclui o seguinte:
SSLCertificateFile /etc/letsencrypt/live/qualification.teamagora.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/qualification.teamagora.com/privkey.pem
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM
SSLHonorCipherOrder on
SSLCompression off
que deve desativar a cifragem RC4...
No entanto, SSLLabs mostra que a seguinte cifragem está disponível!
TLS_RSA_WITH_RC4_128_MD5 (0x4) INSECURE 128
TLS_RSA_WITH_RC4_128_SHA (0x5) INSECURE 128
TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011) INSECURE 128
Onde posso desativar completamente o RC4?
Por que o arquivo de configuração vhost não é levado em consideração (reiniciei o service apache2)
Responder1
Você SSLCipherSuitenão desativa o RC4. Deveria ser mais parecido com:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW
Você deveria seguir Configurações recomendadas da Mozilla, já que uma configuração TLS segura é mais do que desabilitar o RC4. Você encontrará no artigo um link para o Gerador de configuração SSL Mozilla isso facilita a configuração de conjuntos de criptografia adequados por tipo de servidor e navegador.