如何在centos 7的Apache2.4上禁用密码CBC

Question

光环，

我想在apache2.4上禁用密码CBC，因为当我使用kali linux (使用./testssl -U mydomain.com)对SSL配置进行渗透测试时，我得到了一些通知，如下所示。使用testssl配置我的ssl

我希望有人能帮我禁用密码CBC。

这里是我在/etc/httpd/conf.d/ssl.conf中的配置

SSLProtocol -All +TLSv1.1 +TLSv1.2

SSLCipherSuite HIGH:!aNULL:!eNULL:!kECDH:!aDH:!RC4:!3DES:!CAMELLIA:!MD5:!PSK:!SRP:!KRB5:@STRENGTH

Answer 1

根据Apache用户邮件列表，这将在SSL实验室上为您提供一个A+，从而达到您的目标：

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Answer 2

我想他的意思是

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DES

最后一个词应该是'DES‘而不是'DSS’。