我在 Ubuntu 10.04LTS 上运行带有 SSL 的 Apache2。当我检查证书时,Chrome 给出了这个烦人的警告:
必须使用 SSL 3.0 重试连接。这通常意味着服务器正在使用非常旧的软件,并且可能存在其他安全问题。
apache 配置的相关部分如下所示:
SSLEngine on
SSLCertificateFile /etc/ssl/...
SSLCertificateKeyFile /etc/ssl/...
SSLCACertificateFile /etc/ssl/...
SSLProtocol -all +SSLv3 +TLSv1
我添加了最后一行来尝试解决此问题,但不起作用。关于正确启用 TLS 有什么建议吗?
答案1
我在搜索 Chrome 警告时偶然发现了这个页面(我刚刚开始使用 apache),新安装 apache 时也发生了同样的事情。
您必须确保您的 SSLCipherSuite 指令包含“TLSv1”,因为默认情况下它不包含。
这与您问题中的 SSLProtocol 指令一起删除了有关连接到站点的所有警告,即使使用自签名证书也是如此(当我说“删除有关连接到站点的所有警告”时,证书警告仍然存在,但加密消息很好)。
我建议至少使用
SSLCipherSuite TLSv1+HIGH:!SSLv2:!aNULL:!eNULL:@STRENGTH