Altere as cifras de SSL usadas pelo Apache2 no Plesk 11.5 e no Ubuntu 12.04

Navegue suas respostas
1

Eu quero alterar a configuração do meu servidor Apache2 para que ele aceite as seguintes linhas, a fim de desabilitar códigos TLS fracos e permitir perfeito sigilo de encaminhamento. 

SSLProtocol all -SSLv2 -SSLv3
SSLCompression Off
SSLHonorCipherOrder on 
SSLCipherSuite "EECDH+AESGCM EDH+AESGCM EECDH -RC4 EDH -CAMELLIA -SEED !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

No entanto, estou sendo um pouco confuso. O Plesk 11.5 foi pré-instalado no servidor e é usado para gerenciar o servidor do Apache2. Eu mudei as linhas em 

/etc/apache2/mods-enabled/ssl.conf

e reinicie o apache digitando 

service apache2 restart

No entanto, sslscan retorna o seguinte: 

phil@phil-desktop:~$ sslscan www.phkr.de | grep Accepted
Accepted  SSLv3  256 bits  DHE-RSA-AES256-SHA
Accepted  SSLv3  256 bits  DHE-RSA-CAMELLIA256-SHA
Accepted  SSLv3  256 bits  AES256-SHA
Accepted  SSLv3  256 bits  CAMELLIA256-SHA
Accepted  SSLv3  168 bits  EDH-RSA-DES-CBC3-SHA
Accepted  SSLv3  168 bits  DES-CBC3-SHA
Accepted  SSLv3  128 bits  DHE-RSA-AES128-SHA
Accepted  SSLv3  128 bits  DHE-RSA-SEED-SHA
Accepted  SSLv3  128 bits  DHE-RSA-CAMELLIA128-SHA
Accepted  SSLv3  128 bits  AES128-SHA
Accepted  SSLv3  128 bits  SEED-SHA
Accepted  SSLv3  128 bits  CAMELLIA128-SHA
Accepted  SSLv3  128 bits  RC4-SHA
Accepted  SSLv3  128 bits  RC4-MD5
Accepted  TLSv1  256 bits  DHE-RSA-AES256-SHA
Accepted  TLSv1  256 bits  DHE-RSA-CAMELLIA256-SHA
Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  256 bits  CAMELLIA256-SHA
Accepted  TLSv1  168 bits  EDH-RSA-DES-CBC3-SHA
Accepted  TLSv1  168 bits  DES-CBC3-SHA
Accepted  TLSv1  128 bits  DHE-RSA-AES128-SHA
Accepted  TLSv1  128 bits  DHE-RSA-SEED-SHA
Accepted  TLSv1  128 bits  DHE-RSA-CAMELLIA128-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  128 bits  SEED-SHA
Accepted  TLSv1  128 bits  CAMELLIA128-SHA
Accepted  TLSv1  128 bits  RC4-SHA
Accepted  TLSv1  128 bits  RC4-MD5

Então presumo que tenho que mudar a configuração em outro lugar?

Qualquer ajuda apreciada, obrigado!

    
por Phil 04.02.2014 / 16:33

1 resposta

1

Eu finalmente percebi isso. Criando o arquivo 

/etc/apache2/conf.d/zz050-psa-disable-weak-ssl-ciphers.conf

e adicionar as linhas a ele resolveu o problema.

    
por 06.02.2014 / 07:46

Tags

Por que meu roteador sem fio permitirá que clientes com fio obtenham um endereço fora do roteador, mas não os sem fio? Servidores Web duplos que carregam o saldo e apontam para o mesmo banco de dados