Amazon-Ec2
ssl.conf SSLCipherSuite 不工作
我有一台 AWS 伺服器,並且一直在使用https://www.ssllabs.com/ssltest/對其進行測試,以確定我是否設置正確。
Type: Amazon Linux AMI 2 Apache version: 2.4.39 OpenSSL: 1.0.2k-fips
我正在查看結果中的密碼套件,它顯示了很多“弱”密碼。
我試圖在 ssl.conf 中對 SSLCipherSuite 進行更改,但似乎沒有任何效果(例如,似乎沒有任何東西可以更改列出的密碼套件)。我什至註釋掉了 SSLCipherSuite,它根本不影響 ssllabs 的輸出!
我的 ssl.conf 有這個:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite HIGH:!aNULL:!MD5 SSLHonorCipherOrder on
每次更改後,我總是重新啟動 Apache。
我只能猜測它可能是從其他地方提取密碼套件?
我很茫然,任何幫助將不勝感激。
我遺漏了我使用Letsencrypt作為證書提供者。我能夠解決這個問題,並想把這個答案留給其他可能遇到這個問題的人。
在我的httpd.conf 中,有
IncludeOptional conf.d/*.conf IncludeOptional sites-enabled/*.conf Include /etc/httpd/sites-available/virtualhosts-le-ssl.conf
在我的virtualhosts-le-ssl.conf裡面有這一行:
Include /etc/letsencrypt/options-ssl-apache.conf
我打開了那個文件,它有 SSL 設置,所以我只能假設它確實覆蓋了我的SSLCipherSuite設置。令人困惑的是我可以使用 ssl.conf 覆蓋我的SSLProtocol設置,但不能對 SSLCipherSuite 做同樣的事情。
在更改了virtualhosts-le-ssl.conf中的 SSLCipherSuite 之後,我能夠成功地修改 ssllabs 中顯示的密碼套件列表,並且已經將其調整為更安全的東西。
希望這對其他人有所幫助。
乾杯!