是否可以修改 SSL 密码以支持运行 Apache 2.4 的 CentOS 服务器上的前向保密?我目前有以下密码设置:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
使用 SSL Labs 测试工具后我获得了 -A 评级,但是我收到以下警告:
此服务器不支持参考浏览器的前向保密。自 2018 年 3 月起,等级上限为 B。
此警告似乎源自 IE6/XP。是否有可能通过我的服务器配置传递此规则?这可能并不那么重要,但如果有一种简单的方法可以轻松支持 IE6/XP 设备 - 我可能会这样做!
答案1
这与 IE6/XP 无关。如果您仍然允许使用 SSLv3 或 TLSv1.0(这是支持 IE6/XP 所必需的),那么您将无法通过大多数测试套件(包括 PCI 合规性)。Qualys 有一个专门介绍其SSL Labs 评分系统。
关于您的密码套件字符串,添加 !kRSA 就可以了。RSA 密钥交换不提供前向保密性。
我通常使用以下内容。
SSLCipherSuite HIGH:!eNULL:!aNULL:!kRSA:!SRP:!PSK:!DSS:@STRENGTH
SSLHonorCipherOrder on
Openssl 文档密码参数细绳。