我目前在 Centos 6.7 机器上运行 Apache 2.2。我需要禁用 openSSL 下 RC4 密码的使用。这是我当前的 SSL 配置:
SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect. Disable SSLv2 access by default:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
我发现很多网站都建议一次性更改一堆允许的密码,但我不确定这是否可能会破坏其他东西。
答案1
配置 TLS 时您应该遵循更好的方法。
跟着推荐配置从 Mozilla 来看,安全的 TLS 配置不仅仅是禁用 RC4。
https://wiki.mozilla.org/Security/Server_Side_TLS
但由于您要求根据您的配置禁用 RC4,因此如下:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW
答案2
SSLCipherSuite可以通过配置选项在单个密码前面添加感叹号(!)来禁用它们。
因此SSLCipherSuite ALL:!RC4将启用除 RC4 之外的所有 openssl 密码。在生产中,您应该使用更强大的密码,例如:
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES256-SHA:!ECDHE-RSA-AES256-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-SEED-SHA:!DHE-RSA-CAMELLIA128-SHA:!ECDHE-RSA-AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH
这将禁用SSLv3,,TLSv1.0因此TLSv1.1您的服务器只能通过访问TLSv1.2。