SSLCipherSuite！3 3DES不工作

Question

按照我在这里和其他地方看到的建议，我试图删除服务器上对这两个套件的支持，这些套件都不通过SSL Labs server测试：

TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

我认为将SSLCipherSuite设置为：

HIGH:!aNULL:!eNULL:!DES:!3DES:!ADH:!EXP:!NULL:!RC4

将不允许任何与3 3DES，但SSL实验室测试仍然显示这两个“弱”密码的支持。我试着添加

:!DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA

到该设置并重新启动(Apache优美)，但不会更改。

SSLProtocol设置为：

-ALL -SSLv2 -SSLv3 +TLSv1.2

( -SSLv2和v3是多余的吗？)

我遗漏了什么？

Answer 1

也许现在已经解决了，但是，有着完全相同的问题，失去了生存的意愿，但后来发现它是加密的：

https://www.andrewshay.me/blog/apache-disable-tls_rsa_使用_3 3des_爱德_cbc_民政事务局局长/

我在ApacheInstally文件夹中对CipherSuite进行了庆祝，但让我们加密它之外的一个文件。

Answer 2

您显示的SSLCipherSuite对于达到您所述的目标(删除3 3DES)很好，在内部使用它时可以看到

openssl ciphers -V 'HIGH:!aNULL:!eNULL:!DES:!3DES:!ADH:!EXP:!NULL:!RC4'

这显示了应该被您的服务器接受的密码，并且可以看到不再存在3 3DES。

如果服务器的测试显示不同，那么您可能正在测试另一台服务器，然后测试您配置的服务器，或者没有应用此设置，这可能是因为您的配置中有另一个SSLCipherSuite，或者重新启动不成功，而且前面的配置仍在使用中。

除此之外，我建议遵循Mozilla的指导原则来配置您的服务器。他们提供主要服务器的密码和协议版本的适当配置，最好是使用这些配置，而不是自己的配置，除非您真正知道自己在做什么。