我目前在Centos 6.7机器上运行Apache 2.2。 我需要在openSSL下禁止使用RC4密码。 这是我目前的SSLconfiguration:
SSL Protocol support: # List the enable protocol levels with which clients will be able to # connect. Disable SSLv2 access by default: SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 # SSL Cipher Suite: # List the ciphers that the client is permitted to negotiate. # See the mod_ssl documentation for a complete list. SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW 我发现各种网站build议改变一堆允许的密码,但我不知道如果这可能会打破其他的事情。
configurationTLS时应遵循更好的方法。
按照Mozilla 推荐的configuration ,安全的TLSconfiguration不仅仅是禁用RC4。
https://wiki.mozilla.org/Security/Server_Side_TLS
但是因为你要求禁用RC4根据你的configuration在这里是:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW
可以通过在SSLCipherSuiteconfiguration选项前面添加感叹号(!)来禁用单个密码。
所以SSLCipherSuite ALL:!RC4将启用除RC4以外的每个openssl密码。 在生产中,您应该使用更强大的function,例如:
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES256-SHA:!ECDHE-RSA-AES256-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-SEED-SHA:!DHE-RSA-CAMELLIA128-SHA:!ECDHE-RSA-AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH
这将禁用SSLv3 , TLSv1.0 , TLSv1.1因此您的服务器只能通过TLSv1.2访问。