У меня есть сервер AWS, и я тестировал его с помощью https://www.ssllabs.com/ssltest/ , чтобы определить, настраиваю ли я его. правильно.
Type: Amazon Linux AMI 2
Apache version: 2.4.39
OpenSSL: 1.0.2k-fips
Я смотрю на набор шифров в результатах, и он показывает много «слабых» шифров.
Я попытался внести изменения в SSLCipherSuite в ssl.conf, но, похоже, ничего не работает (например, ничего не меняет даже перечисленные наборы шифров).Я даже закомментировал SSLCipherSuite, и это вообще не влияет на вывод ssllabs!
В моем ssl.conf указано следующее:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on
Я всегда перезапускал Apache после каждого изменения.
Я могу только догадываться, что он мог получить комплект шифров откуда-то еще?
Я в растерянности и буду благодарен за любую помощь.
Я не учел, я использовал Letsencrypt в качестве поставщика сертификатов. Мне удалось решить эту проблему, и я хотел бы оставить этот ответ для других, кто тоже может столкнуться с этой проблемой.
В моем httpd.conf было
IncludeOptional conf.d/*.conf
IncludeOptional sites-enabled/*.conf
Include /etc/httpd/sites-available/virtualhosts-le-ssl.conf
Внутри моего ] virtualhosts-le-ssl.conf была следующей строкой:
Include /etc/letsencrypt/options-ssl-apache.conf
Я открыл этот файл, и в нем были настройки SSL, поэтому я могу только предположить, что он действительно перезаписывал мои настройки SSLCipherSuite . Что сбивает с толку, я могу использовать ssl.conf, чтобы перезаписать мои настройки SSLProtocol , но не могу сделать то же самое с SSLCipherSuite .
После изменения SSLCipherSuite внутри virtualhosts-le-ssl.conf , я смог успешно изменить список Cipher Suite, отображаемый в ssllabs, и с тех пор изменил его на что-то более безопасное.
Надеюсь. , это поможет кому-то другому.
Ура!