У меня есть сервер AWS, и я тестировал его с https://www.ssllabs.com/ssltest/ чтобы определить, правильно ли я все настраиваю.
Type: Amazon Linux AMI 2
Apache version: 2.4.39
OpenSSL: 1.0.2k-fips
Я смотрю на наборы шифров в результатах, и они показывают много «слабых» шифров.
Я попытался внести изменения в SSLCipherSuite в ssl.conf, но, похоже, ничего не работает (например, ничего не меняет даже перечисленные наборы шифров). Я даже закомментировал SSLCipherSuite, и это вообще не влияет на вывод ssllabs!
В моем ssl.conf есть это:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on
Я всегда перезапускал Apache после каждого изменения.
Я могу только догадываться, что он мог получить комплект шифров откуда-то еще?
Я в растерянности, и любая помощь будет оценена по достоинству.
Я не учел, я использовал Letsencrypt в качестве поставщика сертификатов. Мне удалось исправить проблему, и я хотел бы оставить этот ответ для других, которые также могут столкнуться с этой проблемой.
В моем httpd.conf, там было
IncludeOptional conf.d/*.conf
IncludeOptional sites-enabled/*.conf
Include /etc/httpd/sites-available/virtualhosts-le-ssl.conf
Внутри моего virtualhosts-le-ssl.conf была эта строка:
Include /etc/letsencrypt/options-ssl-apache.conf
Я открыл этот файл, и в нем были настройки SSL, поэтому я могу только предположить, что он действительно перезаписывал мой SSLCipherSuite настройки. Что сбивает с толку, я могу использовать ssl.conf для перезаписи моего SSLProtocol настройки, но не могу сделать то же самое с SSLCipherSuite.
После изменения SSLCipherSuite внутри virtualhosts-le-ssl.conf, Я смог успешно изменить список Cipher Suite, отображаемый в ssllabs, и с тех пор изменил его на что-то более безопасное.
Надеюсь, это поможет кому-то другому.
Ура!