無法更新 Apache SSL 協議或密碼
我已經搜尋和測試了幾天,並且已經用完了可以嘗試的東西。這是我的問題。我有一個使用 OpenSSL 1.0.2g 在 Microsoft Windows 2008 R2 伺服器上執行的 Apache Lounge 2.4.18 (Win32) VC14 Web 伺服器。我們的公司安全團隊掃描了我的伺服器並檢測到正在使用 RC4。(他們使用 Rapid7 的 Nexpose)。他們建議配置伺服器以禁用對 RC4 密碼的支持,並建議使用如下所示的密碼配置。他們還建議不要使用 TLSv1,而只使用 TLSv1.1 和 TLSv1.2。我還執行 SSLScan 來複製結果,可以看到“TLSv1 128 bits RC4-SHA”被接受。
沒問題,我認為並更改了我的 httpd.conf 文件,如下所示,然後重新啟動了 Apache2.4 服務。然後我讓他們重新掃描伺服器,他們收到了相同的結果。我搜尋了整個伺服器,尋找包含“SSLCipherSuite”或“SSLProtocol”的文件,並將它們全部刪除或重命名,除了\Apache24\conf\httpd.conf。我確實有一個 \Apache24\conf\openssl.cnf 文件,但我認為它沒有任何作用,因為它仍然是 Apache 附帶的預設文件。我還進行了大規模清理並刪除了所有舊版本的 Apache、OpenSSL 和 PHP。大約 3 週前,我從 Apache 2.2 和 OpenSSL 0.9.x 升級了 Apache 和 OpenSSL,並且一直執行沒有問題。我在 error.log 或 windows 事件查看器中沒有任何啟動錯誤。
Apache/OpenSSL 是否在其他地方確定協議或密碼套件?
是否有預設的地方會忽略我的 SSL 相關指令?
我的 httpd.conf 文件的內容(“MYDOMAIN”顯然不是我的實際域名):
<VirtualHost *:80> DocumentRoot "C:/Apache24/htdocs" ServerName www.MYDOMAIN.com </VirtualHost> <VirtualHost *:443> DocumentRoot "C:/Apache24/htdocs_apps" ServerName apps.MYDOMAIN.com SSLEngine on SSLCertificateFile "C:/Apache24/certs/233afff052190aeb.crt" SSLCertificateKeyFile "C:/Apache24/certs/star_MYDOMAIN_com.key" # SSLCertificateChainFile "C:/Apache24/certs/gd_bundle-g2-g1.crt" SSLProtocol -ALL +TLSv1.1 +TLSv1.2 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSAAES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSAAES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK <Location / > Options -ExecCGI -FollowSymLinks -Indexes Require all granted </Location> </VirtualHost>
任何幫助是極大的讚賞。
啊啊成功!事實證明,我們的網路使用“F5”設備進行 SSL 連接,然後將連接代理回我的伺服器。看起來他們需要研究他們的密碼!由於這個小練習,我的伺服器現在更加安全。我也使用 CloudFlare,所以連接使用 TLSv1.1 和 TLSv1.2 進行 Cloudflare->F5->OpenSSL。
午餐時間。我想知道我們是否還有那種兩杯午餐的政策……
至於 openssl.conf,它是否有 SSLCipherSuite 指令,如果有,是否被註釋掉?可能存在“合併”問題。
查看您的 SSLCipherSuite 指令,我看到以下問題(這可能是問題的一部分,也可能不是問題的一部分):
錯別字:
- ECDHE-ECDSAAES256-GCM-SHA384 應該是 ECDHE-ECDSA-AES256-GCM-SHA384
- 雖然 TLSv1.0,但 DHE-RSAAES256-SHA 應該是 DHE-RSA-AES256-SHA
TLSv1.0 協議:
- AND-RSA-AES128-SHA 是 TLSv1.0
- AND-DSS-AES256-SHA 是 TLSv1.0
無論如何,我使用:
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
和
SSLProtocol all -SSLv2 -SSLv3
並從 Qualys SSL Labs 的SSL 伺服器測試中獲得 A+ 評級(包括驗證無 RC4)。
注意:雖然有些人正在放棄 TLSv1.0,但您可能會在使用相當數量的瀏覽器時遇到問題,可能包括 Android 5.0.0 及更高版本、Win 7 上的 IE 8-10、Win Phone 8.0 上的 IE 10、Safari 5.1.9在 OS X 10.6.8 和 Safari 6.0.4 在 OS X 10.8.4