Можно ли изменить шифры SSL для поддержки прямой секретности на моем сервере CentOS с Apache 2.4? В настоящее время у меня есть следующая настройка шифра:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
Это дает мне оценку -A с помощью инструмента тестирования SSL Labs, но я получаю следующее предупреждение:
Этот сервер не поддерживает прямую секретность со ссылочными браузерами. С марта 2018 года оценка будет повышена до B.
Это предупреждение похоже на IE6 / XP. Есть ли способ передать это правило с конфигурацией моего сервера? Вероятно, это не так важно, но если есть простой способ легко поддерживать устройства IE6 / XP - я тоже могу!
Это не имеет ничего общего с IE6 / XP. Если вы по-прежнему разрешаете SSLv3 или TLSv1.0, который требуется для поддержки IE6 / XP, вы не выполняете большинство тестов (включая соответствие PCI). У Qualys есть страница, посвященная их Система подсчета очков SSL Labs.
Что касается строки набора шифров, добавление! KRSA должно сделать это. Обмен ключами RSA не обеспечивает прямой секретности.
Обычно я использую следующее.
SSLCipherSuite HIGH:!eNULL:!aNULL:!kRSA:!SRP:!PSK:!DSS:@STRENGTH
SSLHonorCipherOrder on
Openssl документирует параметры шифра строка.