我遇到了一个问题,需要禁用 DH 密码套件或将密码套件优先级仅更改为 Apache 2.4.7 中的某些 IP 地址。
原因是运行 JDK7 的系统需要连接到我的 Web 服务,而这需要 DH 密钥为 1024 位。降低 DH 密钥大小不是一个选择,因为我不想让我们面临僵局漏洞。
理想情况下,我希望在向某些 IP 地址提供请求时优先考虑 AES256-SHA 或仅在 Apache 2.4.7 中禁用 EC 密码套件。
谢谢。
答案1
SSLCipherSuite 指令可用于服务器、虚拟主机、目录,甚至 .htaccess 上下文。这意味着您可以设置一个单独的虚拟主机来监听另一个端口、一个单独的目录(“example.com/JDK7Access”),甚至一个 .htaccess 文件,以允许在所需级别使用不同的密码套件。
如果您只想优先使用密码套件,您可以在 Server 或 VirtualHost 上下文中发出 SSLHonorCipherOrder 指令。这会使 Apache 优先选择它可以从 SSLCipherSuite 列表中协商的最左边的密码。