Ssl

如何在 Apache 中禁用 AES128?

  • December 27, 2020

我正在使用以下密碼,我今天一直在更新,如果其中有任何不完整,請不要擔心。幫我禁用AES128。

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128

它仍在使用這個:

TLS_AES_128_GCM_SHA256 (0x1301)  

對於大家好奇,在大家的幫助下,我已經實現了這個,這個 SSL Conf 對我來說似乎是你在 Apache 中可以獲得的最安全的,支持大多數設備,並且你可以在 ssllabs.com 中實現 100%:

SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"

<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>

根據您的需要調整日誌文件位置。如果存在任何漏洞,請通知:)

資訊:

此配置僅適用於 4096 位證書。您可以將其調整為 2048 位。

normalSSLCipherSuite選項僅設置 TLS 1.2 及更低版本的密碼。TLS_AES_128_GCM_SHA256雖然是 TLS 1.3 密碼,但不會被 TLS 1.2-密碼字元串隱藏。要設置 TLS 1.3 密碼,明確指定協議,即:

SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384

引用自:https://serverfault.com/questions/1047616