我遇到了一个问题,我需要禁用DH密码套件或将密码套件的优先级仅更改为Apache 2.4.7中的某些IP地址。
原因是在JDK7上运行的系统需要连接到我的Web服务,这需要DH密钥为1024位。 降低DH密钥大小不是一个选项,因为我不想打开我们的logjam漏洞。
理想情况下,我想在向特定IP地址提供请求时,仅在Apache 2.4.7中优先使用AES256-SHA或禁用EC密码套件。
谢谢。
SSLCipherSuite指令可以在Server,VirtualHost,Directory,甚至.htaccess上下文中使用。 这意味着你可以设置一个独立的虚拟主机监听另一个端口,一个单独的目录(“example.com/JDK7Access”),甚至一个.htaccess文件,以允许在你想要的级别不同的密码套件。
来源: Apache 2.4模块mod_ssl文档
如果您只想优先考虑使用密码套件,则可以在Server或VirtualHost上下文中发出SSLHonorCipherOrder指令。 这使得Apache更喜欢它可以从SSLCipherSuite列表中协商的最左边的密码。