我刚刚在https://www.ssllabs.com/上testing了我的网站,并且说SSLv2是不安全的,我应该将其与弱密码套件一起禁用。
我如何禁用? 我尝试了以下,但它不工作。
通过ftp访问/etc/httpd/conf.d/ssl.conf 。 添加
SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
通过putty连接到服务器,并提供service httpd restart命令。
但它仍然显示在网站上不安全。 我怎样才能解决它? 我的服务器是Plesk 10.3.1 CentOS。 在同一台服务器上有3-4个站点。
将SSLProtocol和SSLCipherSuite行更改为,
SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
重新加载您的Apacheconfiguration才能生效。
SSLHonorCipherOrder On将按照指定的顺序尝试密码。
以上configuration通过ssllabs.com上的检查除了TLS版本。 由于OpenSSL 1.0.0,我的CentOS 6只支持TLS 1.0。 OpenSSL 1.0.1支持TLS 1.1和1.2。
你有没有任何负载平衡器或代理在你的Apache?
您可能想要确保没有另一个SSLProtocol或SSLCiperSuite直接在您的Apacheconfiguration中的任何地方覆盖刚刚添加的那个。
如果找不到,请尝试将这两个添加到您的SSL vhost而不是ssl.conf 。 这将有助于确保正确的是最后的应用。
那个为我工作
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"
试试这个。
要在Centos6.x中禁用SSL,只需运行以下命令:
yum删除mod_ssl
然后
服务httpd重新加载
要再次启用SSL,请再次安装“mod_ssl”包:
yum安装mod_ssl
然后
服务httpd重新加载