TLSv1およびRC4-SHAを無効にすることはできません。

TLSv1およびRC4-SHAを無効にすることはできません。

Centos 7でTLSv1およびRC4-SHAのサポートを削除する必要があります。

私のssl.confに次の行があります

SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

RC4とTLSv1がまだサポートされていることを確認するためにこのコマンドを使用しています。

sslscan --no-failed xxx.xxx.xxx.xxx:1337

sslscanは私に次の結果を与えました:

Supported Server Cipher(s):

Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  256 bits  CAMELLIA256-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  128 bits  CAMELLIA128-SHA
Accepted  TLSv1  128 bits  DES-CBC3-SHA
**Accepted  TLSv1  128 bits  RC4-SHA**
Accepted  TLS11  256 bits  AES256-SHA
Accepted  TLS11  256 bits  CAMELLIA256-SHA
Accepted  TLS11  128 bits  AES128-SHA
Accepted  TLS11  128 bits  CAMELLIA128-SHA
Accepted  TLS11  128 bits  DES-CBC3-SHA
**Accepted  TLS11  128 bits  RC4-SHA**
Accepted  TLS12  256 bits  AES256-GCM-SHA384
Accepted  TLS12  256 bits  AES256-SHA256
Accepted  TLS12  256 bits  AES256-SHA
Accepted  TLS12  256 bits  CAMELLIA256-SHA
Accepted  TLS12  128 bits  AES128-GCM-SHA256
Accepted  TLS12  128 bits  AES128-SHA256
Accepted  TLS12  128 bits  AES128-SHA
Accepted  TLS12  128 bits  CAMELLIA128-SHA
Accepted  TLS12  128 bits  DES-CBC3-SHA
**Accepted  TLS12  128 bits  RC4-SHA**

明らかにRC4-SHAはまだ許可されていますが、RC4とTLSv1をサポートしないように設定したいと思います。この問題を解決する方法はありますか?

答え1

お客様の設定は、Apache v2.2 および v2.4 の新しく設定された仮想ホストで使用する場合に機能します。だから私はあなたが何か間違っているのではないかと心配です。

  1. Apacheを再起動しませんでした。
  2. テスト中のURLが何か間違っています。
  3. @garethTheRedが述べたように、競合する設定を見つけられませんでした。

次のことをお勧めします。

  1. 実行中の構成を確認するために、Apacheの完全な停止/開始を実行します(Apacheが途中で実行されていないことを確認)。
  2. apachectl -S仮想ホストを実行して確認してください。不明な場合は、結果を質問に入力してください。
  3. 新しいSSL仮想ホストを設定し、すべてが正しく機能していることをテストします。

また、パスワードのリストをより安全なものに変更することをお勧めします。

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

このパスワードのリストは次のようになりました。https://cipherli.st/

関連情報