Я использую следующий шифр, который я продолжаю обновлять сегодня, не волнуйтесь, если в нем есть какие-то недоработки. Просто помогите мне отключить AES128.
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128
Он все еще использует это:
TLS_AES_128_GCM_SHA256 (0x1301)
Для всех, кому интересно, после вашей помощи я добился этого, эта SSL Conf, на мой взгляд, самая безопасная из всех, которые можно получить в Apache, с поддержкой большинства устройств, и вы можете достичь 100% на ssllabs.com:
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"
<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>
Настройте место файла журнала в соответствии с вашими потребностями. И, пожалуйста, сообщите, если есть какие-либо уязвимости :)
Информация:
Эта конфигурация была сделана только для 4096-битных сертификатов. Вы можете настроить ее для 2048-битных.
решение1
Обычная SSLCipherSuiteопция устанавливает только шифры для TLS 1.2 и ниже. TLS_AES_128_GCM_SHA256является шифром TLS 1.3 и не скрывается строкой шифра TLS 1.2-. Чтобы установить шифры TLS 1.3, явно укажите протокол, например:
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384