前向保密支持？

是否可以在執行 Apache 2.4 的 CentOS 伺服器上修改 SSL 密碼以支持前向保密？我目前有以下密碼設置：

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

這給了我使用 SSL Labs 測試工具的 -A 評級，但我收到以下警告：

此伺服器不支持參考瀏覽器的前向保密。從 2018 年 3 月起，等級上限為 B。

此警告似乎源自 IE6/XP。有沒有辦法通過我的伺服器配置傳遞這條規則？這可能不是那麼重要，但如果有一種簡單的方法可以輕鬆支持 IE6/XP 設備 - 我也可以！

它與 IE6/XP 無關。如果您仍然允許支持 IE6/XP 所需的 SSLv3 或 TLSv1.0，那麼您將無法通過大多數測試套件（包括 PCI 合規性）。Qualys 有一個專門介紹其SSL Labs 評分系統的頁面。

關於您的密碼套件字元串，添加 !kRSA 應該可以。RSA 密鑰交換不提供前向保密。

我通常使用以下。

SSLCipherSuite HIGH:!eNULL:!aNULL:!kRSA:!SRP:!PSK:!DSS:@STRENGTH
SSLHonorCipherOrder on

Openssl 記錄密碼參數字元串。

引用自：https://serverfault.com/questions/895204