如何识别和删除CipherSuite中的CBC密码？

Question

我在cipherSuite中有带有下面密码的apache服务器。扫描后，我发现一些密码(CBC)很弱，需要移除。但我无法确定他们中的哪一个实际上是CBC。你能帮忙吗？

FYI -版本如下

Apache2.4.23；openssl 1.0.2h；RHEL7

SSLCipherSuite:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256: ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256: ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384: ECDHE-ECDSA-美学256-SHA:DHE-RSA-DSS 128-SHA 256: DHE-DSS-AES 128-SHA 256:DHE-RSA-美学256-SHA 256: DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384: AES 128-SHA 256:美学256-SHA 256:AES:DES-CBC-3-SHA：!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA：!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!3DES

导致漏洞的CBC密码:如何在上述套件中识别这些密码？* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) -A TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) -A TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) -A TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) -A TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) -A TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A*

我发现了一些带有"CBC3“的密码，但是当我删除它们时，Apache不会响应https请求。

Answer 1

任何名字中含有CBC的密码都是CBC密码，可以删除。为了提高安全性，您还应该将密码从最强到最弱排序，并在配置中设置SSLHonorCipherOrder on和SSLProtocol all -SSLv3。

Mozilla为生成安全的you服务器配置提供了一个很好的工具，您可能会发现这些配置很有用，特别是您的Apache和OpenSSL版本的OpenSSL配置。在那之后，尝试Qualsys SSL实验室测试看看你做得如何。