为什么在没有SSLv3密匙的情况下，TLS协议不能工作？

Question

在禁用SSLv3文件以克服ssl.conf漏洞的同时，我还使用!SSLv3禁用了SSLv3密码。由于密码被禁用，我们无法通过Firefox和IE访问该网站。以下是来自Firefox的错误消息：

An error occurred during a connection to xxxx.example.com.
Cannot communicate securely with peer: no common encryption algorithm(s).
(Error code: ssl_error_no_cypher_overlap)

所以我们回去启用了SSLv3密匙套件，一切都开始正常工作了。现在，SSLv3协议已被禁用，但SSLv3密码已启用。

• 我是否正确地假设，由于TLS密码在浏览器中不可用，我们得到了其中一个浏览器的错误？
• 是否有可能使用的协议是TLSv3，但密码是SSLv3？

SSLProtocol all -SSLv2 -SSLv3
#SSLProtocol -all +SSLv3
#   SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:!MEDIUM:!LOW

我们可以升级我们办公室的浏览器，但不能在客户的机器上进行升级。是否禁用了SSLv3协议，但是否启用了建议的设置？换句话说，我们可以用SSLv3密码通过TLS连接吗？

Answer 1

贵宾犬是协议问题，而不是密码问题。(实际上，它同时适用于AES和DES，因此您可以看到它与所使用的密码无关。)禁用SSLv3密码是不必要的(而且，正如您已经发现的，可能不可取)。仅仅禁用协议就足以防止贵宾犬的攻击。

Answer 2

我写了一篇关于如何在Qualys测试上获得A+的文章，它包含了有利的SSL信任的详细信息：

ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

这是一个NginX配置，所以您可能需要稍微修改一下格式，因为看起来您使用的是Apache。这可以作为一组更广泛的配置更改来实现，以强化SSL配置。

来源：https://scotthelme.co.uk/a-plus-rating-qualys-ssl-test/