我使用的是下面的密碼,今天不斷更新,如果有不完整的地方不用擔心。請幫我禁用 AES128。
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128
它仍然使用這個:
TLS_AES_128_GCM_SHA256 (0x1301)
對於每個人來說,在大家的幫助下,我已經實現了這一目標,對我來說,這個SSL Conf 似乎是Apache 中最安全的,支援大多數設備,並且您可以在ssllabs.com 中實現100%:
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"
<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>
根據您的需求調整日誌檔案位置。如果有任何漏洞,請通知:)
資訊:
此配置僅適用於 4096 位元憑證。您可以將其調整為 2048 位元。
答案1
普通SSLCipherSuite選項僅設定 TLS 1.2 及更低版本的密碼。TLS_AES_128_GCM_SHA256但它是 TLS 1.3 密碼,並且不會被 TLS 1.2 密碼字串隱藏。若要設定 TLS 1.3 密碼,請明確指定協議,即:
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384