2

Клиент запросил отключение TLSv1 и TLSv1.1 на веб-сервере. Сервер работает под управлением Apache 2.4.8. и OpenSSL 1.0.2g.

Я добавил директиву в /etc/apache2/mods-enabled/ssl.conf:

SSLProtocol TLSv1.2

Перезапуск Apache2 и запуск теста в лабораториях SSL (и двух других инструментах) показывает, что TLSv1 и 1.1 по-прежнему включены. Я перепробовал множество вариантов директивы SSLProtocol, основанных на поиске в Google:

SSLProtocol -all +TLSv1.2
SSLProtocol +TLSv1.2 -TLSv1.1 -TLSv1
SSLProtocol +all -TLSv1.1 -TLSv1

Никто из них не работает. Я также попытался добавить директиву в /etc/apache2/apache2.conf . Это также не имеет значения.

Я понятия не имею, как поступить.

|источник

2 ответа2

1

Клиент запросил отключение TLSv1 и TLSv1.1 на веб-сервере. Сервер работает под управлением Apache 2.4.8. и OpenSSL 1.0.2g.

Вот соответствующая конфигурация для того, что вы описываете.

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1    
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder     on    
SSLCompression          off    
SSLSessionTickets       off

Источник: apache 2.4.18 | современный профиль | OpenSSL 1.0.1g

Вы можете сократить список наборов шифров до следующего:

SSLCipherSuite HIGH:!aNULL:!MD5:!RC4

Источник: Как заставить все соединения Apache использовать TLSv1.1 или TLSv1.2

|источник
0

В Apache это не вступит в силу, если у вас включен виртуальный хост.

Чтобы решить эту проблему, добавьте параметры в файлы виртуального хоста, так как это можно контролировать для каждого виртуального хоста;

то есть в /etc /apache2 /sites-enabled / вы ожидаете найти несколько файлов, каждый из которых предназначен для сети, где вы можете иметь разные настройки в каждом файле.

Общая настройка, которая работает для меня: 

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLSessionTickets off
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .