Отключить шифр RC4 для Apache 2.2
В настоящее время я запускаю Apache 2.2 на машине Centos 6.7. Мне нужно отключить использование шифра RC4 под openSSL. Вот моя текущая конфигурация SSL:
SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect. Disable SSLv2 access by default:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
Я нашел различные сайты, рекомендующие изменить сразу несколько разрешенных шифров, но я не уверен, что это может сломать другие вещи.
При настройке TLS следует придерживаться более подходящего подхода.
Следуйте Рекомендуемым конфигурациям от Mozilla, безопасная конфигурация TLS - это больше, чем просто отключить RC4.
https : //wiki.mozilla.org/Security/Server_Side_TLS
Но поскольку вы просите отключить RC4 в зависимости от вашей конфигурации, вот что:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW
Отдельные шифры можно отключить с помощью параметра конфигурации SSLCipherSuite , добавив восклицательный знак (!) Перед ними.
Итак SSLCipherSuite ВСЕ :!RC4 включит все шифры openssl, кроме RC4.
В производстве вам следует использовать что-то более надежное, например:
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES256-SHA:!ECDHE-RSA-AES256-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-SEED-SHA:!DHE-RSA-CAMELLIA128-SHA:!ECDHE-RSA-AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH
Это отключит SSLv3 , TLSv1.0 , TLSv1.1 , чтобы ваш сервер быть доступным только через TLSv1.2 .