我有一台 AWS 服务器,并且一直在测试它https://www.ssllabs.com/ssltest/来确定我是否正确设置了。
Type: Amazon Linux AMI 2
Apache version: 2.4.39
OpenSSL: 1.0.2k-fips
我正在查看结果中的密码套件,它显示了很多“弱”密码。
我尝试更改 ssl.conf 中的 SSLCipherSuite,但似乎没有任何效果(因为似乎没有任何东西可以更改列出的密码套件)。我甚至注释掉了 SSLCipherSuite,但它根本不影响 ssllabs 的输出!
我的 ssl.conf 有以下内容:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on
每次更改后我都会重新启动 Apache。
我只能猜测它可能是从其他地方提取密码套件?
我很茫然,如果能提供任何帮助我都会很感激。
答案1
我忘了我正在使用Letsencrypt作为证书提供者。我能够修复此问题,并希望将此答案留给可能也遇到此问题的其他人。
在我的httpd配置文件, 有
IncludeOptional conf.d/*.conf
IncludeOptional sites-enabled/*.conf
Include /etc/httpd/sites-available/virtualhosts-le-ssl.conf
在我的里面虚拟主机-le-ssl.conf是这一行:
Include /etc/letsencrypt/options-ssl-apache.conf
我打开了该文件并且它有 SSL 设置所以我只能假设它确实覆盖了我的SSL密码套件设置。令人困惑的是,我可以使用 ssl.conf 覆盖我的SSL协议设置,但不能做同样的事情SSL密码套件。
更改 SSLCipherSuite 内部内容后虚拟主机-le-ssl.conf,我能够成功修改 ssllabs 中显示的密码套件列表,并将其调整为更安全的内容。
希望这能帮助到其他人。
干杯!