Я только что протестировал свой сайт на https://www.ssllabs.com/ и он сказал, что SSLv2 небезопасен, и я должен отключить его вместе со слабыми наборами шифров.
Как я могу это отключить? Я пробовал следующее, но это не работает.
Пошел в /etc/httpd/conf.d/ssl.conf по ftp. Добавлено
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Подключил к серверу шпатлевкой и отдал service httpd restart команда.
Но все же это небезопасно на сайте. Как я могу это исправить? Мой сервер - Plesk 10.3.1 CentOS. На одном сервере 3-4 сайта.
Измените строки SSLProtocol и SSLCipherSuite на,
SSLProtocol -ALL +SSLv3 +TLSv1 -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
Перезагрузите Apache, чтобы конфигурация вступила в силу.
В SSLHonorCipherOrder On будет пробовать шифры в указанном порядке.
Вышеуказанная конфигурация проходит проверку на ssllabs.com, за исключением версии TLS. Моя CentOS 6 поддерживает только TLS 1.0 из-за OpenSSL 1.0.0. OpenSSL 1.0.1 поддерживает TLS 1.1 и 1.2.
У вас есть балансировщик нагрузки или прокси перед вашим apache?
Вы можете убедиться, что нет другого SSLProtocol или SSLCiperSuite direcive в любом месте вашей конфигурации Apache, который переопределяет только что добавленный.
Если вы не можете его найти, попробуйте добавить эти два к своему виртуальному хосту SSL, а не ssl.conf. Это поможет гарантировать, что правильные будут применены последними.
Тот работал у меня
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH"
Попробуй это.
Чтобы отключить SSL в Centos6.x Просто выполните следующую команду:
ням удалить mod_ssl
затем
перезагрузка службы httpd
Чтобы снова включить SSL, снова установите пакет "mod_ssl", например:
yum установить mod_ssl
затем
перезагрузка службы httpd