Apache / OpenSSL設定キーワード `SSLProtocol`と `SSLCipherSuite`

Apache / OpenSSL設定キーワード `SSLProtocol`と `SSLCipherSuite`

~によるとApacheドキュメント(ao)2つの異なるキーワードを使用して暗号スイートを設定できます。インターネットの例では、両方のキーワードを使用することがよくあります(ただし、以下の例と必ずしも同じではありません)。

SSLProtocolとの違いは何ですかSSLCipherSuite?どちらかを使用する必要がありますか、どちらも使用する必要がありますか?

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!SSLv2:!SSLv3

それとも、個々のパスワードをリストする方が良いですかSSLCipherSuite

SSLCipherSuite ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:AES128-SHA:RC4-SHA ...

これら2つのキーワードの構成は基本的に異なりますか?ここで大事なことを見落としている気がした。

上記の構成は必ずしも良い習慣ではなく、単に私の疑いを説明するための例です。

答え1

SSLProtocol許可されるプロトコル(SSLまたはTLS)とこれらのプロトコルの特定のバージョンを設定します。

たとえば、次のようになります。

SSLProtocol all -SSLv2 -SSLv3

SSLv2 および SSLv3 を除いて、サポートされているすべてのプロトコルを有効にすることを示します。

SSLCipherSuite使用できる暗号スイートを構成します。各プロトコルは異なるネストされたパスワードセットをサポートしているため、許可したいパスワードの詳細設定を適用できます。

個々のパスワードのリストを指定する代わりにSSLv3(SSLv3プロトコルで許可されているすべてのパスワードを意味する)、またはTLSv1(TLSv1プロトコルで許可されているすべてのパスワード)などのエイリアスを使用できます。

サポートされているプロトコルを制御するには、プロトコルがSSLProtocols許可するすべてのパスワードをブロックするのではなく、特定のプロトコルが許可されていないことを明示的に指定しているため、使用する必要があります。

関連情報