Отключение анонимных шифров в Apache не работает
У нас есть сервер Apache 2.2.3 с OpenSSL 0.9.8e-fips-rhel5. Я использую следующую конфигурацию SSL на моем VirtualHost. Я не могу найти никаких других файлов конфигурации с какими-либо директивами SSL.
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite CDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
Однако я все еще не могу выполнить сканирование SslLabs со следующим сообщением:
Этот сервер поддерживает анонимные (небезопасные) наборы
Почему он все еще не работает, если я использую только надежные шифры и могу ' Не найти ли где-либо перезаписывающую конфигурацию?
openssl ciphers -v со строкой шифра покажет список.
Нулевое шифрование нельзя отключить с помощью! ENULL. OpenSSL не включает его даже во ВСЕМ, но с тем же успехом может сделать его отключение явным.
Проверьте все файлы конфигурации, содержащие SSL. И убедитесь, что httpd прослушивает этот порт.
Вы можете получить второе мнение с помощью локального скрипта сканирования SSL / TLS. Есть пара хороших, которые точно показывают, какие шифры они используют.
Сильные шифры относительны. OpenSSL 0.9.8 на самом деле не может выполнять TLS 1.1 или 1.2, поэтому он не будет обеспечивать современную безопасность (или хорошо себя чувствовать в SSLLabs).