У нас есть сервер Apache 2.2.3 с OpenSSL 0.9.8e-fips-rhel5. Я использую следующую конфигурацию SSL на моем VirtualHost. Я не могу найти никаких других файлов конфигурации с какими-либо директивами SSL.
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite CDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
Однако я все еще не могу выполнить сканирование SslLabs со следующим сообщением:
Этот сервер поддерживает анонимные (небезопасные) наборы
Почему он все еще не работает, если я использую только надежные шифры и нигде не могу найти какую-либо заменяющую конфигурацию?
openssl ciphers -v со строкой шифра покажет список.
Вы не отключаете нулевое шифрование с помощью! ENULL. OpenSSL не включает его даже во ВСЕМ, но с тем же успехом может сделать его отключение явным.
Проверьте все файлы конфигурации, содержащие SSL. И убедитесь, что httpd прослушивает этот порт.
Вы можете получить второе мнение с помощью локального скрипта сканирования SSL / TLS. Есть пара хороших, которые точно показывают, какие шифры они используют.
Сильные шифры относительны. OpenSSL 0.9.8 действительно не может выполнять TLS 1.1 или 1.2, поэтому он не будет обеспечивать современную безопасность (или хорошо себя чувствовать в SSLLabs).