Я попробовал следующие настройки, чтобы удалить наборы шифров CBC на сервере Apache,
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
после нескольких повторных тестов наборы шифров CBC все еще включены в моем Apache. Я не уверен, какие наборы мне следует удалить/добавить?
решение1
Это распространенная ошибка, связанная с библиотекой TLS, которую использует ваша установка Apache, OpenSSL, которая не называет свои наборы шифров по их именам.полное название IANAно часто упрощенный, который часто опускает используемый режим цепочки. Это плохая идея, и я не думаю, что они делают это больше для недавно добавленных наборов.
Ваша конфигурация по-прежнему запрашивает некоторые наборы CBC, например, ECDHE-ECDSA-AES256-SHA384, который на самом деле является TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384. Любой набор AES, не указывающий режим цепочки, вероятно, использует CBC в OpenSSL (и, следовательно, Apache).
Вы можете охотиться на них по одному, проверяяhttps://ciphersuite.info/cs/?sort=asc&security=all&singlepage=true&tls=tls12&software=opensslили вариант, который я бы рекомендовал, использование Mozilla SSL Configuration Generator для быстрого получения заведомо работающей конфигурации (https://ssl-config.mozilla.org/). Чтобы избежать включения генератором наборов CBC, выберите «Промежуточный» в качестве настройки, а «Старый» включит некоторые наборы CBC, чтобы разрешить подключение очень старых клиентов.