如何在 Apache2 中禁用 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 密碼？

在SSL labs中，我知道我正在使用這個“弱密碼”：

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

現在在 Apache 中，這是我啟用的一組套件：

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384

在上面的列表中，我嘗試添加!ECDHE-RSA-AES256-CBC-SHA384，但這沒有幫助。我也嘗試添加!CBC，但這也不能解決 SSL Labs 中的問題。我應該怎麼做才能禁用這個密碼？

我在 Debian Buster 上。我使用的 Apache 版本是2.4.38-3+deb10u3. 一切都是最新的。

您嘗試刪除的密碼套件ECDHE-RSA-AES256-SHA384由openssl呼叫。

每當您的密碼列表中AES256 沒有出現 時GCM，這意味著伺服器將在密碼塊連結模式下使用 AES。該密碼絕不是損壞或弱的（尤其是與您列表中的 SHA-2 變體等良好的散列函式一起使用時）。與伽羅瓦計數器模式相比，它不那麼推薦。

在手動選擇密碼之前，您應該閱讀Mozilla 的伺服器端 TLS 頁面以做出明智的選擇。例如，Debian 8 才 4 歲，它沒有openssl 1.1 版。

根據需要編輯密碼套件列表後，您可以使用以下方法測試結果：

openssl ciphers -v 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384'

引用自：https://serverfault.com/questions/992326