TLSv1 및 RC4-SHA를 비활성화할 수 없습니다.

TLSv1 및 RC4-SHA를 비활성화할 수 없습니다.

Centos 7에서 TLSv1 및 RC4-SHA 지원을 제거해야 합니다.

내 ssl.conf에 다음 줄이 있습니다

SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

RC4 및 TLSv1이 여전히 지원되는지 확인하기 위해 이 명령을 사용하고 있습니다.

sslscan --no-failed xxx.xxx.xxx.xxx:1337

sslscan은 나에게 다음과 같은 결과를 주었다:

Supported Server Cipher(s):

Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  256 bits  CAMELLIA256-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  128 bits  CAMELLIA128-SHA
Accepted  TLSv1  128 bits  DES-CBC3-SHA
**Accepted  TLSv1  128 bits  RC4-SHA**
Accepted  TLS11  256 bits  AES256-SHA
Accepted  TLS11  256 bits  CAMELLIA256-SHA
Accepted  TLS11  128 bits  AES128-SHA
Accepted  TLS11  128 bits  CAMELLIA128-SHA
Accepted  TLS11  128 bits  DES-CBC3-SHA
**Accepted  TLS11  128 bits  RC4-SHA**
Accepted  TLS12  256 bits  AES256-GCM-SHA384
Accepted  TLS12  256 bits  AES256-SHA256
Accepted  TLS12  256 bits  AES256-SHA
Accepted  TLS12  256 bits  CAMELLIA256-SHA
Accepted  TLS12  128 bits  AES128-GCM-SHA256
Accepted  TLS12  128 bits  AES128-SHA256
Accepted  TLS12  128 bits  AES128-SHA
Accepted  TLS12  128 bits  CAMELLIA128-SHA
Accepted  TLS12  128 bits  DES-CBC3-SHA
**Accepted  TLS12  128 bits  RC4-SHA**

분명히 RC4-SHA는 여전히 허용되지만 RC4 및 TLSv1을 지원하지 않도록 구성하려고 합니다. 이 문제를 해결할 방법이 있나요?

답변1

귀하의 구성은 Apache v2.2 및 v2.4의 새로 설정된 가상 호스트에서 사용할 때 작동합니다. 그래서 나는 당신이 뭔가 잘못한 게 아닐까 걱정됩니다.

  1. Apache를 다시 시작하지 않았습니다.
  2. 테스트 중인 URL이 뭔가 잘못되었습니다.
  3. @garethTheRed가 언급한 것처럼 충돌하는 구성을 찾지 못했습니다.

다음을 수행하는 것이 좋습니다.

  1. 실행 중인 구성을 확인하기 위해 아파치의 전체 중지/시작을 실행합니다(아파치가 중간에 실행되고 있지 않은지 확인).
  2. apachectl -S가상 호스트를 실행 하고 확인하세요. 확실하지 않은 경우 결과를 질문에 입력하세요.
  3. 새로운 SSL 가상 호스트를 설정하고 모든 것이 제대로 작동하는지 테스트하세요.

또한 비밀번호 목록을 보다 안전한 것으로 변경하는 것이 좋습니다.

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

이 비밀번호 목록은 다음에서 가져왔습니다.https://cipherli.st/

관련 정보