Centos 7에서 TLSv1 및 RC4-SHA 지원을 제거해야 합니다.
내 ssl.conf에 다음 줄이 있습니다
SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"
RC4 및 TLSv1이 여전히 지원되는지 확인하기 위해 이 명령을 사용하고 있습니다.
sslscan --no-failed xxx.xxx.xxx.xxx:1337
sslscan은 나에게 다음과 같은 결과를 주었다:
Supported Server Cipher(s):
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 128 bits DES-CBC3-SHA
**Accepted TLSv1 128 bits RC4-SHA**
Accepted TLS11 256 bits AES256-SHA
Accepted TLS11 256 bits CAMELLIA256-SHA
Accepted TLS11 128 bits AES128-SHA
Accepted TLS11 128 bits CAMELLIA128-SHA
Accepted TLS11 128 bits DES-CBC3-SHA
**Accepted TLS11 128 bits RC4-SHA**
Accepted TLS12 256 bits AES256-GCM-SHA384
Accepted TLS12 256 bits AES256-SHA256
Accepted TLS12 256 bits AES256-SHA
Accepted TLS12 256 bits CAMELLIA256-SHA
Accepted TLS12 128 bits AES128-GCM-SHA256
Accepted TLS12 128 bits AES128-SHA256
Accepted TLS12 128 bits AES128-SHA
Accepted TLS12 128 bits CAMELLIA128-SHA
Accepted TLS12 128 bits DES-CBC3-SHA
**Accepted TLS12 128 bits RC4-SHA**
분명히 RC4-SHA는 여전히 허용되지만 RC4 및 TLSv1을 지원하지 않도록 구성하려고 합니다. 이 문제를 해결할 방법이 있나요?
답변1
귀하의 구성은 Apache v2.2 및 v2.4의 새로 설정된 가상 호스트에서 사용할 때 작동합니다. 그래서 나는 당신이 뭔가 잘못한 게 아닐까 걱정됩니다.
- Apache를 다시 시작하지 않았습니다.
- 테스트 중인 URL이 뭔가 잘못되었습니다.
- @garethTheRed가 언급한 것처럼 충돌하는 구성을 찾지 못했습니다.
다음을 수행하는 것이 좋습니다.
- 실행 중인 구성을 확인하기 위해 아파치의 전체 중지/시작을 실행합니다(아파치가 중간에 실행되고 있지 않은지 확인).
apachectl -S가상 호스트를 실행 하고 확인하세요. 확실하지 않은 경우 결과를 질문에 입력하세요.- 새로운 SSL 가상 호스트를 설정하고 모든 것이 제대로 작동하는지 테스트하세요.
또한 비밀번호 목록을 보다 안전한 것으로 변경하는 것이 좋습니다.
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
이 비밀번호 목록은 다음에서 가져왔습니다.https://cipherli.st/