我的一个客户想让我在他的服务器上升级openssl和Apache,因为他想从SSLLabs接收一个A. 我继续升级到Apache 2.4.18,并打开到1.0.2e版本。 然后我修改了Apache的SSLconfiguration以符合以下要求:
# SSL Protocols/Ciphers SSLProtocol All -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256::kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK SSLCompression off 我从SSL实验室运行SSLtesting,但仍收到以下警告:
该服务器容易受到POODLE攻击。 如果可能的话,禁用SSL 3来缓解。 等级上限为C.
在协议列表中,即使上述语句声明应禁用SSL 3,也会显示YES。
我已经尝试了许多密码组合search在networking上,我总是得到相同的结果。 我也在任何* .conf文件中searchSSLconfiguration,但除了我上面的SSL文件没有。
该网站的url: https : //orders.expotools.biz
SSL实验室: https : //www.ssllabs.com/ssltest/analyze.html? d = orders.expotools.biz
ssllabs可能会caching结果。 我记得使用ssllabs结果页面上的链接或button清除caching并重新检查Web服务器。
为了使它工作,我必须使用以下命令重新编译openssl ./config --prefix=/usr no-threads shared no-ssl3 。 在启用更改之后,我也必须重新编译apache。 像魅力一样工作。