根据 IP 地址禁用密码套件或更改 Apache 中的优先级

根据 IP 地址禁用密码套件或更改 Apache 中的优先级

我遇到了一个问题,需要禁用 DH 密码套件或将密码套件优先级仅更改为 Apache 2.4.7 中的某些 IP 地址。

原因是运行 JDK7 的系统需要连接到我的 Web 服务,而这需要 DH 密钥为 1024 位。降低 DH 密钥大小不是一个选择,因为我不想让我们面临僵局漏洞。

理想情况下,我希望在向某些 IP 地址提供请求时优先考虑 AES256-SHA 或仅在 Apache 2.4.7 中禁用 EC 密码套件。

谢谢。

答案1

SSLCipherSuite 指令可用于服务器、虚拟主机、目录,甚至 .htaccess 上下文。这意味着您可以设置一个单独的虚拟主机来监听另一个端口、一个单独的目录(“example.com/JDK7Access”),甚至一个 .htaccess 文件,以允许在所需级别使用不同的密码套件。

来源:Apache 2.4 模块 mod_ssl 文档

如果您只想优先使用密码套件,您可以在 Server 或 VirtualHost 上下文中发出 SSLHonorCipherOrder 指令。这会使 Apache 优先选择它可以从 SSLCipherSuite 列表中协商的最左边的密码。

相关内容