%20%E5%90%AF%E5%8A%A8.png)
我正在尝试更新运行 CentOs 6.4 的测试服务器的 SSL 设置,但是在更新 SSL 密码套件后,apache 无法启动。
配置文件位置:/etc/httpd/conf.d/ssl.conf。
以 root 身份重新启动命令:service httpd restart
原本(作品):
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP
已更新(无效):
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXP
LogLevel我启用了 httpd debug,下面是我所看到的内容。
[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[info] Init: Seeding PRNG with 256 bytes of entropy
[info] Init: Generating temporary RSA private keys (512/1024 bits)
[info] Init: Generating temporary DH parameters (512/1024 bits)
[info] Init: Initializing (virtual) servers for SSL
(stops here)
我检查了此服务器上的虚拟主机配置,它只包含生产服务器配置文件的副本。我不确定这是否相关。
知道如何解决这个问题吗?顺便问一下,是否需要同时更新SSLProtocol和SSLCipherSuite?
答案1
SSLCipherSuite 全部:!ADH:RC4+RSA:+高:+中:!低:!SSLv2:!SSLv3:!EXP
禁用 SSLv2 和 SSLv3 密码套件实际上会禁用 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1 所需的所有密码套件,因为 TLS 1.0 和 TLS 1.1 没有定义任何新的密码套件。由于 CentOS 6.4 仅包含 OpenSSL 1.0.0,尚不支持 TLS1.2,因此您实际上根本没有密码。
请限制 POODLE 修复的范围SSLProtocol,不要影响密码。POODLE 的问题不是密码的缺陷,而是协议本身的缺陷。