httpd не запустится с обновленного SSLCipherSuite (ПУДЕЛЬ)
Я пытаюсь обновить настройки SSL для сервера тестирования рабочий CentOs 6.4, но после обновления наборов шифров SSL, не запустит апач.
Местоположение конфигурационного файла: /etc/httpd/conf.d/ssl.conf.
Команда перезапуска как корень: service httpd restart
Первоначально (работы):
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP
Обновленный (не работает):
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXP
Я включил httpd LogLevel кому: debug, и ниже то, что я вижу.
[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[info] Init: Seeding PRNG with 256 bytes of entropy
[info] Init: Generating temporary RSA private keys (512/1024 bits)
[info] Init: Generating temporary DH parameters (512/1024 bits)
[info] Init: Initializing (virtual) servers for SSL
(stops here)
Я проверил virtualhost конфигурацию на этом сервере, и это просто имеет копию конфигурационного файла рабочего сервера. Я не уверен, если это релевантно.
Какая-либо идея, как решить этот вопрос? На ноте стороны, это необходимый для обновления обоих SSLProtocol и SSLCipherSuite?
SSLCipherSuite ALL:! ADH: RC4 + RSA: + HIGH: + MEDIUM:! LOW:! SSLv2:! SSLv3:! EXP
Отключение комплектов шифров SSLv2 и SSLv3 эффективно отключает все шифрования наборы, необходимые для SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1, поскольку TLS 1.0 и TLS 1.1 не определяли никаких новых шифровальных костюмов. Поскольку CentOS 6.4 включает только OpenSSL 1.0.0, который еще не поддерживает TLS1.2, у вас фактически не осталось шифров вообще.
Пожалуйста, ограничьте исправление POODLE до SSLProtocol и оставьте шифрование в покое. Проблемы с POODLE заключаются не в недостатках шифров, а в самом протоколе.