Невозможно отключить TLSv1 и RC4-SHA

tag-icon tag-icon centos security apache-httpd ssl
Невозможно отключить TLSv1 и RC4-SHA

Мне нужно удалить поддержку TLSv1 и RC4-SHA в Centos 7.

У меня в ssl.conf есть эти строки

SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

И я проверяю, поддерживаются ли еще RC4 и TLSv1, используя эту команду

sslscan --no-failed xxx.xxx.xxx.xxx:1337

sslscan дал мне такой результат:

Supported Server Cipher(s):

Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  256 bits  CAMELLIA256-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  128 bits  CAMELLIA128-SHA
Accepted  TLSv1  128 bits  DES-CBC3-SHA
**Accepted  TLSv1  128 bits  RC4-SHA**
Accepted  TLS11  256 bits  AES256-SHA
Accepted  TLS11  256 bits  CAMELLIA256-SHA
Accepted  TLS11  128 bits  AES128-SHA
Accepted  TLS11  128 bits  CAMELLIA128-SHA
Accepted  TLS11  128 bits  DES-CBC3-SHA
**Accepted  TLS11  128 bits  RC4-SHA**
Accepted  TLS12  256 bits  AES256-GCM-SHA384
Accepted  TLS12  256 bits  AES256-SHA256
Accepted  TLS12  256 bits  AES256-SHA
Accepted  TLS12  256 bits  CAMELLIA256-SHA
Accepted  TLS12  128 bits  AES128-GCM-SHA256
Accepted  TLS12  128 bits  AES128-SHA256
Accepted  TLS12  128 bits  AES128-SHA
Accepted  TLS12  128 bits  CAMELLIA128-SHA
Accepted  TLS12  128 bits  DES-CBC3-SHA
**Accepted  TLS12  128 bits  RC4-SHA**

Видимо, RC4-SHA все еще принимается, и я пытаюсь настроить его так, чтобы он не поддерживал RC4 и TLSv1. Есть ли способ решить эту проблему?

решение1

Ваша конфигурация работает, когда я использую ее в недавно настроенном виртуальном хосте на Apache v2.2 и v2.4. Так что я боюсь, что вы делаете что-то еще неправильно.

  1. Вы не перезапустили Apache
  2. URL-адрес, который вы тестируете, каким-то образом неверен.
  3. У вас конфликтующая конфигурация, которую вы не нашли (как отметил @garethTheRed)

Я предлагаю вам сделать следующее:

  1. Выполните полную остановку/запуск Apache (убедившись, что Apache не запущен в это время), просто чтобы убедиться в работоспособности вашей конфигурации.
  2. Запустите apachectl -Sи проверьте свои виртуальные хосты. Вставьте вывод в свой вопрос, если вы не уверены.
  3. Настройте новый виртуальный хост SSL и проверьте его, чтобы убедиться, что все в порядке.

Я бы также предложил изменить список шифров на что-то более безопасное, например

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

Этот список шифров был взят изhttps://cipherli.st/

Связанный контент