Ssl
前向保密支持?
是否可以在執行 Apache 2.4 的 CentOS 伺服器上修改 SSL 密碼以支持前向保密?我目前有以下密碼設置:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
這給了我使用 SSL Labs 測試工具的 -A 評級,但我收到以下警告:
此伺服器不支持參考瀏覽器的前向保密。從 2018 年 3 月起,等級上限為 B。
此警告似乎源自 IE6/XP。有沒有辦法通過我的伺服器配置傳遞這條規則?這可能不是那麼重要,但如果有一種簡單的方法可以輕鬆支持 IE6/XP 設備 - 我也可以!
它與 IE6/XP 無關。如果您仍然允許支持 IE6/XP 所需的 SSLv3 或 TLSv1.0,那麼您將無法通過大多數測試套件(包括 PCI 合規性)。Qualys 有一個專門介紹其SSL Labs 評分系統的頁面。
關於您的密碼套件字元串,添加 !kRSA 應該可以。RSA 密鑰交換不提供前向保密。
我通常使用以下。
SSLCipherSuite HIGH:!eNULL:!aNULL:!kRSA:!SRP:!PSK:!DSS:@STRENGTH SSLHonorCipherOrder on
Openssl 記錄密碼參數字元串。