Centos 7でTLSv1およびRC4-SHAのサポートを削除する必要があります。
私のssl.confに次の行があります
SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"
RC4とTLSv1がまだサポートされていることを確認するためにこのコマンドを使用しています。
sslscan --no-failed xxx.xxx.xxx.xxx:1337
sslscanは私に次の結果を与えました:
Supported Server Cipher(s):
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 128 bits DES-CBC3-SHA
**Accepted TLSv1 128 bits RC4-SHA**
Accepted TLS11 256 bits AES256-SHA
Accepted TLS11 256 bits CAMELLIA256-SHA
Accepted TLS11 128 bits AES128-SHA
Accepted TLS11 128 bits CAMELLIA128-SHA
Accepted TLS11 128 bits DES-CBC3-SHA
**Accepted TLS11 128 bits RC4-SHA**
Accepted TLS12 256 bits AES256-GCM-SHA384
Accepted TLS12 256 bits AES256-SHA256
Accepted TLS12 256 bits AES256-SHA
Accepted TLS12 256 bits CAMELLIA256-SHA
Accepted TLS12 128 bits AES128-GCM-SHA256
Accepted TLS12 128 bits AES128-SHA256
Accepted TLS12 128 bits AES128-SHA
Accepted TLS12 128 bits CAMELLIA128-SHA
Accepted TLS12 128 bits DES-CBC3-SHA
**Accepted TLS12 128 bits RC4-SHA**
明らかにRC4-SHAはまだ許可されていますが、RC4とTLSv1をサポートしないように設定したいと思います。この問題を解決する方法はありますか?
答え1
お客様の設定は、Apache v2.2 および v2.4 の新しく設定された仮想ホストで使用する場合に機能します。だから私はあなたが何か間違っているのではないかと心配です。
- Apacheを再起動しませんでした。
- テスト中のURLが何か間違っています。
- @garethTheRedが述べたように、競合する設定を見つけられませんでした。
次のことをお勧めします。
- 実行中の構成を確認するために、Apacheの完全な停止/開始を実行します(Apacheが途中で実行されていないことを確認)。
apachectl -S
仮想ホストを実行して確認してください。不明な場合は、結果を質問に入力してください。- 新しいSSL仮想ホストを設定し、すべてが正しく機能していることをテストします。
また、パスワードのリストをより安全なものに変更することをお勧めします。
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
このパスワードのリストは次のようになりました。https://cipherli.st/