Amazon-Ec2

ssl.conf SSLCipherSuite 不工作

  • September 26, 2019

我有一台 AWS 伺服器,並且一直在使用https://www.ssllabs.com/ssltest/對其進行測試,以確定我是否設置正確。

Type: Amazon Linux AMI 2 
Apache version: 2.4.39
OpenSSL: 1.0.2k-fips

我正在查看結果中的密碼套件,它顯示了很多“弱”密碼。

我試圖在 ssl.conf 中對 SSLCipherSuite 進行更改,但似乎沒有任何效果(例如,似乎沒有任何東西可以更改列出的密碼套件)。我什至註釋掉了 SSLCipherSuite,它根本不影響 ssllabs 的輸出!

我的 ssl.conf 有這個:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on

每次更改後,我總是重新啟動 Apache。

我只能猜測它可能是從其他地方提取密碼套件?

我很茫然,任何幫助將不勝感激。

我遺漏了我使用Letsencrypt作為證書提供者。我能夠解決這個問題,並想把這個答案留給其他可能遇到這個問題的人。

在我的httpd.conf 中,有

IncludeOptional conf.d/*.conf
IncludeOptional sites-enabled/*.conf
Include /etc/httpd/sites-available/virtualhosts-le-ssl.conf

在我的virtualhosts-le-ssl.conf裡面有這一行:

Include /etc/letsencrypt/options-ssl-apache.conf

我打開了那個文件,它有 SSL 設置,所以我只能假設它確實覆蓋了我的SSLCipherSuite設置。令人困惑的是我可以使用 ssl.conf 覆蓋我的SSLProtocol設置,但不能對 SSLCipherSuite 做同樣的事情

在更改了virtualhosts-le-ssl.conf中的 SSLCipherSuite 之後,我能夠成功地修改 ssllabs 中顯示的密碼套件列表,並且已經將其調整為更安全的東西。

希望這對其他人有所幫助。

乾杯!

引用自:https://serverfault.com/questions/985552