不能禁用TLSv1和RC4-SHA

Question

我需要删除Centos 7中的TLSv1和RC4-SHA支持。

我的ssl.conf里有这些行

SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

我正在检查使用以下命令是否仍然支持RC4和TLSv1

sslscan --no-failed xxx.xxx.xxx.xxx:1337

sslscan给了我这个结果：

Supported Server Cipher(s):

Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  256 bits  CAMELLIA256-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  128 bits  CAMELLIA128-SHA
Accepted  TLSv1  128 bits  DES-CBC3-SHA
**Accepted  TLSv1  128 bits  RC4-SHA**
Accepted  TLS11  256 bits  AES256-SHA
Accepted  TLS11  256 bits  CAMELLIA256-SHA
Accepted  TLS11  128 bits  AES128-SHA
Accepted  TLS11  128 bits  CAMELLIA128-SHA
Accepted  TLS11  128 bits  DES-CBC3-SHA
**Accepted  TLS11  128 bits  RC4-SHA**
Accepted  TLS12  256 bits  AES256-GCM-SHA384
Accepted  TLS12  256 bits  AES256-SHA256
Accepted  TLS12  256 bits  AES256-SHA
Accepted  TLS12  256 bits  CAMELLIA256-SHA
Accepted  TLS12  128 bits  AES128-GCM-SHA256
Accepted  TLS12  128 bits  AES128-SHA256
Accepted  TLS12  128 bits  AES128-SHA
Accepted  TLS12  128 bits  CAMELLIA128-SHA
Accepted  TLS12  128 bits  DES-CBC3-SHA
**Accepted  TLS12  128 bits  RC4-SHA**

显然，RC4-SHA仍然被接受，我试图配置它不支持任何RC4和TLSv1。有办法解决这个问题吗？

Answer 1

当我在ApacheV2.2和v2.4上新安装的虚拟主机上使用它时，您的配置就可以工作了。所以恐怕你做错了什么。

1. 你没有重启Apache
2. 您正在测试的URL不知何故是错误的
3. 您的配置冲突，您找不到(如@garethTheRed提到的)

我建议你做以下几点：

1. 为apache运行一个完整的停止/启动(确保Apache没有在中间运行)，只是为了确保您正在运行的配置
2. 运行apachectl -S并验证虚拟主机。如果你不确定的话，把输出放在你的问题中。
3. 设置一个新的基本框架SSL虚拟主机并测试它，以确保一切正常。

我还建议将密码列表更改为更安全的内容，例如

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

这个密码列表是从https://cipherli.st/提取的