Centos 7 上的 Apache 2.4 未接受 SSLCipherSuite 更改

Centos 7 上的 Apache 2.4 未接受 SSLCipherSuite 更改

我正在尝试禁用 CBC 套件,但是出于某种原因,无论我如何更改 SSLCipherSuites 选项,apache 中都不会发生任何变化!

例如,当我启用或禁用 TLS1.1 时,它会正常更改。但当我更改

SSLCipherSuite ALL:+HIGH:!ADH:!EXP:!SSLv2:!SSLv3:!MEDIUM:!LOW:!NULL:!aNULL

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

什么都没变。我甚至试着只放一个:

SSLCipherSuite "ECDHE-ECDSA-AES128-GCM-SHA256"

但我仍然发现 CBC 密码处于活动状态!我该如何更改它们?

|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

答案1

更新

显然,实际上没有可以专门用于禁用“CBC”密码的字符串。您可以改用以下内容:

SSLCipherSuite ALL:!RSA:!CAMELLIA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SHA1:!SHA256:!SHA384

相关内容