我正在使用以下密码,我今天一直在更新它,不用担心它是否有任何不完整之处。只要帮我禁用 AES128 就行。
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128
它仍在使用这个:
TLS_AES_128_GCM_SHA256 (0x1301)
对于所有想知道的人,在大家的帮助下,我已经实现了这一点,这个 SSL Conf 对我来说似乎是 Apache 中最安全的,支持大多数设备,你可以在 ssllabs.com 上实现 100%:
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"
<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>
根据您的需要调整日志文件位置。如果存在任何漏洞,请通知:)
信息:
此配置仅适用于 4096 位证书。您可以将其调整为 2048 位证书。
答案1
常规SSLCipherSuite选项仅设置 TLS 1.2 及更低版本的密码。TLS_AES_128_GCM_SHA256但是是 TLS 1.3 密码,并且不会被 TLS 1.2 密码字符串所隐藏。要设置 TLS 1.3 密码,请明确指定协议,即:
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384