我的一位客户希望我升级他服务器上的 openssl 和 Apache,因为他想从 SSLLabs 获得 A 级评分。我继续升级到 Apache 2.4.18 并将 openssl 升级到版本 1.0.2e。然后我修改了 Apache 的 SSL 配置以匹配以下内容:
# SSL Protocols/Ciphers
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256::kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLCompression off
我运行了 SSL 实验室的 SSL 测试,但仍然收到以下警告:
此服务器容易受到 POODLE 攻击。如果可能,请禁用 SSL 3 以缓解影响。等级上限为 C。
在协议列表中,即使上述语句表明应该禁用 SSL 3,它也会对 SSL 3 说“是”。
我在网上搜索过很多密码组合,但总是得到相同的结果。我还在任何 *.conf 文件中搜索过 SSL 配置,但除了上面的 SSL 文件外,没有其他配置。
该网站的网址:https://orders.expotools.biz
SSL 实验室:https://www.ssllabs.com/ssltest/analyze.html?d=orders.expotools.biz
答案1
ssllabs 可能正在缓存结果。我记得使用 ssllabs 结果页面上的链接或按钮清除缓存并重新检查 Web 服务器。
答案2
为了使其工作,我必须使用以下命令重新编译 openssl ./config --prefix=/usr no-threads shared no-ssl3。我还必须重新编译 apache 以启用更改。效果很好。