我需要刪除 Centos 7 中的 TLSv1 和 RC4-SHA 支援。
我的 ssl.conf 中有這些行
SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"
我正在使用此命令檢查是否仍支援 RC4 和 TLSv1
sslscan --no-failed xxx.xxx.xxx.xxx:1337
sslscan 給了我這個結果:
Supported Server Cipher(s):
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 128 bits DES-CBC3-SHA
**Accepted TLSv1 128 bits RC4-SHA**
Accepted TLS11 256 bits AES256-SHA
Accepted TLS11 256 bits CAMELLIA256-SHA
Accepted TLS11 128 bits AES128-SHA
Accepted TLS11 128 bits CAMELLIA128-SHA
Accepted TLS11 128 bits DES-CBC3-SHA
**Accepted TLS11 128 bits RC4-SHA**
Accepted TLS12 256 bits AES256-GCM-SHA384
Accepted TLS12 256 bits AES256-SHA256
Accepted TLS12 256 bits AES256-SHA
Accepted TLS12 256 bits CAMELLIA256-SHA
Accepted TLS12 128 bits AES128-GCM-SHA256
Accepted TLS12 128 bits AES128-SHA256
Accepted TLS12 128 bits AES128-SHA
Accepted TLS12 128 bits CAMELLIA128-SHA
Accepted TLS12 128 bits DES-CBC3-SHA
**Accepted TLS12 128 bits RC4-SHA**
顯然 RC4-SHA 仍然被接受,我正在嘗試將其配置為不支援任何 RC4 和 TLSv1。有辦法解決這個問題嗎?
答案1
當我在 Apache v2.2 和 v2.4 上新設定的虛擬主機中使用您的配置時,您的配置有效。所以我擔心你一定做錯了什麼。
- 您沒有重新啟動 Apache
- 您正在測試的 URL 不知何故有誤
- 您沒有找到衝突的配置(如 @garethTheRed 提到的)
我建議您執行以下操作:
- 運行 apache 的完全停止/啟動(確保 Apache 沒有在中間運行),只是為了確保您的運行配置
- 運行
apachectl -S並驗證您的虛擬主機。如果您不確定,請將輸出放入您的問題中。 - 設定新的 SSL 虛擬主機並進行測試以確保一切正常
我還建議將密碼清單更改為更安全的內容,例如
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
此密碼列表取自https://cipherli.st/