禁用SSLv3

Question

我对服务器的调整比较陌生/紧张。我的任务是禁用客户端站点上的SSLv3。他们使用亚马逊EC2进行托管。

我已经找到了我需要做改变的地方。

文件中

/etc/apache2/mods-available/ssl.conf

我们有以下几点

#   The protocols to enable.
#   Available values: all, SSLv3, TLSv1, TLSv1.1, TLSv1.2
#   SSL v2  is no longer supported
SSLProtocol all

很多网上的导游说要把它改成

SSLProtocol all -SSLv2 -SSLv3

但在服务器上的注释中，它表示不再支持SSL v2。

将其移动到TLS版本中的一个以便禁用SSLv2有什么问题。

提前感谢

Answer 1

没有任何问题，除非您有一些真正老客户与您的服务器交谈。如果是这样的话，需要更新的是客户机。

SSLv2很久以前就被废弃了，现在已经有好几年了，因为SSLv3也被废弃了。

您可能也可以使用-TLSv1，只剩下TLSv1.1和v1.2

还应该限制服务器使用的SSL密码。

编辑:这里有一个很好的安全SSL服务器设置的起点：https://cipherli.st/