Não é possível desabilitar TLSv1 e RC4-SHA

tag-icon tag-icon centos security apache-httpd ssl
Não é possível desabilitar TLSv1 e RC4-SHA

Preciso remover o suporte a TLSv1 e RC4-SHA no Centos 7.

Eu tenho essas linhas no meu ssl.conf

SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

E estou verificando se RC4 e TLSv1 ainda são suportados usando este comando

sslscan --no-failed xxx.xxx.xxx.xxx:1337

sslscan me deu este resultado:

Supported Server Cipher(s):

Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  256 bits  CAMELLIA256-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  128 bits  CAMELLIA128-SHA
Accepted  TLSv1  128 bits  DES-CBC3-SHA
**Accepted  TLSv1  128 bits  RC4-SHA**
Accepted  TLS11  256 bits  AES256-SHA
Accepted  TLS11  256 bits  CAMELLIA256-SHA
Accepted  TLS11  128 bits  AES128-SHA
Accepted  TLS11  128 bits  CAMELLIA128-SHA
Accepted  TLS11  128 bits  DES-CBC3-SHA
**Accepted  TLS11  128 bits  RC4-SHA**
Accepted  TLS12  256 bits  AES256-GCM-SHA384
Accepted  TLS12  256 bits  AES256-SHA256
Accepted  TLS12  256 bits  AES256-SHA
Accepted  TLS12  256 bits  CAMELLIA256-SHA
Accepted  TLS12  128 bits  AES128-GCM-SHA256
Accepted  TLS12  128 bits  AES128-SHA256
Accepted  TLS12  128 bits  AES128-SHA
Accepted  TLS12  128 bits  CAMELLIA128-SHA
Accepted  TLS12  128 bits  DES-CBC3-SHA
**Accepted  TLS12  128 bits  RC4-SHA**

Aparentemente, o RC4-SHA ainda é aceito e estou tentando configurar para não suportar RC4 e TLSv1. Existe uma maneira de resolver isso?

Responder1

Sua configuração funciona quando eu a uso em um host virtual recém-configurado no Apache v2.2 e v2.4. Então, temo que você esteja fazendo algo errado.

  1. Você não reiniciou o Apache
  2. O URL que você está testando está errado de alguma forma
  3. Você tem uma configuração conflitante que não encontrou (como @garethTheRed mencionou)

Eu sugiro que você faça o seguinte:

  1. Execute um ponto final/início completo para o Apache (certificando-se de que o Apache não esteja sendo executado no meio), apenas para ter certeza de sua configuração em execução
  2. Execute apachectl -Se verifique seus hosts virtuais. Coloque a saída na sua pergunta se não tiver certeza.
  3. Configure um novo host virtual SSL básico e teste-o para ter certeza de que está tudo bem

Eu também sugeriria alterar a lista de cifras para algo mais seguro, como

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

Esta lista de cifras foi retirada dehttps://cipherli.st/

informação relacionada