我有两个Apache 2.4.9 Linux服务器有一个有趣的问题:我试图禁用SSL v3和RC4,以阻止POODLE,并保持SSL实验室的快乐。 但是,每当我closuresSSL v3,我也失去了TLS 1.1和1.2(只保留TLS 1.0)。
这是我的Apache版本:
$ apachectl -v Server version: Apache/2.4.9 (Unix) Server built: Mar 24 2014 10:51:20
和OpenSSL:
$ openssl version OpenSSL 1.0.1e-fips 11 Feb 2013
和Linux:
$ cat /proc/version Linux version 2.6.32-279.11.1.el6.x86_64 ([email protected]) (gcc version 4.4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Sat Sep 22 07:10:26 EDT 2012
这是我的尝试:
# TLS 1.0 only SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite MEDIUM:HIGH:!RC4
第一个是我期望的工作,我已经在其他Apache安装中成功地使用了它。 结果只是TLS 1.0。
# SSLv3, TLS1.0, 1.1, 1.2 SSLProtocol all -SSLv2 SSLCipherSuite MEDIUM:HIGH:!RC4
这会closuresRC4,并保持TLS 1.0,1.1和1.2,但也启用SSL v3。
最后:
# TLS 1.2 only SSLProtocol all SSLCipherSuite MEDIUM:HIGH:!RC4:!SSLv3
这种组合仅导致TLS 1.2(没有TLS 1.0或1.1,没有SSL)。
我认为这是在我有Apache的mod_ssl中的错误。 我很好奇,如果有人在这里看到这个,如果你已经find了一个方法来启用TLS 1.0,1.1和1.2,但禁用SSL。
谢谢。
是否使用MEDIUM防止启用TLS 1.1和1.2? 以下是我的configuration。 我不记得我为什么强迫encryption。 我只是在Qualys检查,它显示只有TLS启用1.0,1.1,1.2。
SSLEngine on SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK