在 Apache 2.4 中,我的 vhost 包括以下内容:
SSLCertificateFile /etc/letsencrypt/live/qualification.teamagora.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/qualification.teamagora.com/privkey.pem
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM
SSLHonorCipherOrder on
SSLCompression off
这应该会停用 RC4 加密......
尽管如此,SSLLabs 显示以下加密可用!
TLS_RSA_WITH_RC4_128_MD5 (0x4) INSECURE 128
TLS_RSA_WITH_RC4_128_SHA (0x5) INSECURE 128
TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011) INSECURE 128
我可以在哪里彻底停用 RC4?
为什么没有考虑 vhost 配置文件(我确实重新启动了服务 apache2)
答案1
您SSLCipherSuite没有禁用 RC4。它应该看起来更像这样:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW
您应该关注 推荐配置 来自 Mozilla,因为安全的 TLS 配置不仅仅是禁用 RC4。您将在文章中找到指向 Mozilla SSL 配置生成器 这使得为每个服务器和浏览器类型配置适当的密码套件变得容易。