Apache-2.2

禁用 Apache 2.2 的 RC4 密碼

  • April 7, 2017

我目前在 Centos 6.7 機器上執行 Apache 2.2。我需要在 openSSL 下禁用 RC4 密碼。這是我目前的 SSL 配置:

SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect.  Disable SSLv2 access by default:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

#   SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

我發現各種網站建議一次更改一堆允許的密碼,但我不確定這是否會破壞其他東西。

在配置 TLS 時,您應該採用更好的方法。

遵循 Mozilla 的推薦配置,安全的 TLS 配置不僅僅是禁用 RC4。

https://wiki.mozilla.org/Security/Server_Side_TLS

但是,由於您要求根據您的配置禁用 RC4,因此這裡是:

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW

單個密碼可以通過SSLCipherSuite配置選項禁用,方法是在它們前面添加一個驚嘆號 (!)。

因此SSLCipherSuite ALL:!RC4將啟用除 RC4 之外的所有 openssl 密碼。在生產中,您應該使用更強大的東西,例如:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES256-SHA:!ECDHE-RSA-AES256-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-SEED-SHA:!DHE-RSA-CAMELLIA128-SHA:!ECDHE-RSA-AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH

這將禁用SSLv3, TLSv1.0TLSv1.1因此您的伺服器只能通過TLSv1.2.

引用自:https://serverfault.com/questions/792096