В SSL лаборатории, Я понял, что использую вот такой "слабый шифр":
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Теперь в Apache я включил следующие наборы:
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
К этому списку выше я попытался добавить !ECDHE-RSA-AES256-CBC-SHA384, но это не помогло. Я также пробовал добавить !CBC, и это тоже не решает проблемы в SSL Labs. Что мне делать, чтобы отключить этот шифр?
Я использую Debian Buster. Я использую версию Apache 2.4.38-3+deb10u3. Все актуально.
Набор шифров, который вы пытаетесь удалить, называется ECDHE-RSA-AES256-SHA384 по openssl.
Всякий раз, когда в вашем списке шифров появляется AES256 не с последующим GCM, это означает, что сервер будет использовать AES в Цепочка блоков шифра Режим. Этот шифр ни в коем случае не является сломанным или слабым (особенно при использовании с хорошей хэш-функцией, такой как варианты SHA-2, которые есть в вашем списке). Просто он менее рекомендуется, чем режим счетчика Галуа.
Прежде чем выбирать шифры вручную, вам следует прочитать Страница TLS на стороне сервера Mozilla сделать осознанный выбор. Например. Debian 8 исполнилось всего 4 года, и в нем нет openssl версия 1.1.
После того как вы отредактируете свой список комплектов шифров по своему усмотрению, вы можете проверить результат с помощью:
openssl ciphers -v 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384'