有谁知道为什么我不能禁用tls 1.0和tls1.1通过更新configuration为此。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 这样做后,我重新加载apache我使用ssllabs或comodo ssl工具进行ssl扫描,它仍然说tls 1.1和1.0支持。 我想删除这些?
如果有多个TLS VirtualHosts并使用服务器名称指示(Server Name Indication,SNI),则每个VirtualHost都有一个SSLProtocol指令的允许语法,但除非实际上有IP VirtualHosts,否则首次使用SSLProtocol指令时的设置将用于整个服务器和/或所有基于名称的虚拟主机,支持TLS 1 。
因此,检查你的主要httpd.conf (以及所有包含的例如conf.d/*.conf SSLProtocol和类似的包含的片段)以获得更多的SSLProtocol指令。
你的语法是正确的,虽然我同意ezra-s的回答 ,当你展开all速记,你可以略微改进:
SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
通过简单地使用:
SSLProtocol TLSv1.2
你已经指定了就足够了,它不应该显示任何其他协议。 记得SSLLABScaching最近的testing。 虽然知道没有其他协议定义它像你做的是有目的的复杂。
无论如何,你可以使用或简单地:
SSLProtocol TLSv1.2