ssl.conf SSLCipherSuite 不起作用

ssl.conf SSLCipherSuite 不起作用

我有一台 AWS 服务器,并且一直在测试它https://www.ssllabs.com/ssltest/来确定我是否正确设置了。

Type: Amazon Linux AMI 2 
Apache version: 2.4.39
OpenSSL: 1.0.2k-fips

我正在查看结果中的密码套件,它显示了很多“弱”密码。

我尝试更改 ssl.conf 中的 SSLCipherSuite,但似乎没有任何效果(因为似乎没有任何东西可以更改列出的密码套件)。我甚至注释掉了 SSLCipherSuite,但它根本不影响 ssllabs 的输出!

我的 ssl.conf 有以下内容:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on

每次更改后我都会重新启动 Apache。

我只能猜测它可能是从其他地方提取密码套件?

我很茫然,如果能提供任何帮助我都会很感激。

答案1

我忘了我正在使用Letsencrypt作为证书提供者。我能够修复此问题,并希望将此答案留给可能也遇到此问题的其他人。

在我的httpd配置文件, 有

IncludeOptional conf.d/*.conf
IncludeOptional sites-enabled/*.conf
Include /etc/httpd/sites-available/virtualhosts-le-ssl.conf

在我的里面虚拟主机-le-ssl.conf是这一行:

Include /etc/letsencrypt/options-ssl-apache.conf

我打开了该文件并且它有 SSL 设置所以我只能假设它确实覆盖了我的SSL密码套件设置。令人困惑的是,我可以使用 ssl.conf 覆盖我的SSL协议设置,但不能做同样的事情SSL密码套件

更改 SSLCipherSuite 内部内容后虚拟主机-le-ssl.conf,我能够成功修改 ssllabs 中显示的密码套件列表,并将其调整为更安全的内容。

希望这能帮助到其他人。

干杯!

相关内容