我需要删除 Centos 7 中的 TLSv1 和 RC4-SHA 支持。
我的 ssl.conf 中有这些行
SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"
我正在使用此命令检查是否仍支持 RC4 和 TLSv1
sslscan --no-failed xxx.xxx.xxx.xxx:1337
sslscan 给了我这个结果:
Supported Server Cipher(s):
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 128 bits DES-CBC3-SHA
**Accepted TLSv1 128 bits RC4-SHA**
Accepted TLS11 256 bits AES256-SHA
Accepted TLS11 256 bits CAMELLIA256-SHA
Accepted TLS11 128 bits AES128-SHA
Accepted TLS11 128 bits CAMELLIA128-SHA
Accepted TLS11 128 bits DES-CBC3-SHA
**Accepted TLS11 128 bits RC4-SHA**
Accepted TLS12 256 bits AES256-GCM-SHA384
Accepted TLS12 256 bits AES256-SHA256
Accepted TLS12 256 bits AES256-SHA
Accepted TLS12 256 bits CAMELLIA256-SHA
Accepted TLS12 128 bits AES128-GCM-SHA256
Accepted TLS12 128 bits AES128-SHA256
Accepted TLS12 128 bits AES128-SHA
Accepted TLS12 128 bits CAMELLIA128-SHA
Accepted TLS12 128 bits DES-CBC3-SHA
**Accepted TLS12 128 bits RC4-SHA**
显然 RC4-SHA 仍然被接受,我正在尝试将其配置为不支持任何 RC4 和 TLSv1。有办法解决这个问题吗?
答案1
当我在 Apache v2.2 和 v2.4 上新设置的虚拟主机中使用您的配置时,您的配置有效。所以我担心你一定做错了什么。
- 您没有重新启动 Apache
- 您正在测试的 URL 不知何故有误
- 您没有找到冲突的配置(如 @garethTheRed 提到的)
我建议您执行以下操作:
- 运行 apache 的完全停止/启动(确保 Apache 没有在中间运行),只是为了确保您的运行配置
- 运行
apachectl -S并验证您的虚拟主机。如果您不确定,请将输出放入您的问题中。 - 设置新的 SSL 虚拟主机并进行测试以确保一切正常
我还建议将密码列表更改为更安全的内容,例如
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
该密码列表取自https://cipherli.st/