Отключение шифрования RC4 в Apache 2.4 vhost и до сих пор доступно

Question

В Apache 2.4 мой vhost включает следующее:

SSLCertificateFile /etc/letsencrypt/live/qualification.teamagora.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/qualification.teamagora.com/privkey.pem
SSLProtocol             all -SSLv2 -SSLv3
SSLCipherSuite          HIGH:MEDIUM
SSLHonorCipherOrder     on
SSLCompression          off

который должен отключить шифрование RC4 ...

Тем не менее, SSLLabs показывает, что доступно следующее шифрование!

TLS_RSA_WITH_RC4_128_MD5 (0x4)           INSECURE   128
TLS_RSA_WITH_RC4_128_SHA (0x5)           INSECURE   128
TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011)  INSECURE   128

Где я могу полностью отключить RC4?

Почему файл конфигурации vhost не учитывается (я сделал перезапуск службы apache2)

Answer 1

Ваш SSLCipherSuite не отключает RC4. Это должно выглядеть больше как:

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW

Вы должны следовать Рекомендованным конфигурациям от Mozilla, поскольку безопасная конфигурация TLS - это больше, чем отключение RC4. В статье вы найдете ссылку на Mozilla SSL Configuration Generator, которая позволяет легко настраивать надлежащие комплекты шифров для каждого типа сервера и браузера.