我嘗試了以下設定來刪除 Apache 伺服器中的 CBC 密碼套件,
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
經過一些重新測試後,CBC 密碼套件在我的 Apache 中仍然啟用。我不確定應該刪除/添加哪些套件?
答案1
這是您的 Apache 安裝使用的 TLS 庫 OpenSSL 的一個常見陷阱,它沒有按其密碼套件命名IANA 完整名稱但通常是簡化的,通常省略所使用的連結模式。這是一個壞主意,我認為他們不會再為新添加的套房這樣做。
您的配置仍然需要一些 CBC 套件,例如 ECDHE-ECDSA-AES256-SHA384 實際上是 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384。任何未指定連結模式的 AES 套件都可能在 OpenSSL(以及 Apache)中使用 CBC。
你可以一一檢查https://ciphersuite.info/cs/?sort=asc&security=all&singlepage=true&tls=tls12&software=openssl或者我推薦的選項,使用 Mozilla SSL 配置生成器快速獲得已知的運行良好的配置(https://ssl-config.mozilla.org/)。為了避免產生器包含 CBC 套件,請選擇“中級”,因為“舊”設定會包含一些 CBC 套件,以允許非常舊的客戶端進行連線。