Estou usando a cifra a seguir, que continuo atualizando hoje, não se preocupe se houver alguma incompletude nela. Apenas me ajude a desativar o AES128.
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128
Ainda está usando isso:
TLS_AES_128_GCM_SHA256 (0x1301)
Para todos que estão se perguntando, depois da ajuda de todos, consegui isso, este SSL Conf para mim parece o mais seguro que você pode obter no Apache, com suporte para a maioria dos dispositivos, e você pode atingir 100% em ssllabs.com:
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"
<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>
Ajuste o local do arquivo de log de acordo com suas necessidades. E por favor notifique se alguma vulnerabilidade estiver presente :)
Informações:
Esta configuração foi feita apenas para certificados de 4096 bits. Você pode ajustá-lo para 2.048 bits.
Responder1
A opção normal SSLCipherSuitedefine apenas as cifras para TLS 1.2 e inferiores. TLS_AES_128_GCM_SHA256é uma cifra TLS 1.3 e não é ocultada pela string de cifra TLS 1.2. Para definir cifras TLS 1.3, especifique explicitamente o protocolo, ou seja:
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384