Atualmente, estou executando o Apache 2.2 em uma máquina Centos 6.7. Eu preciso desativar o uso da cifra RC4 em openSSL. Aqui está minha configuração atual do SSL:
SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect. Disable SSLv2 access by default:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
Eu encontrei vários sites recomendando alterar um monte de cifras permitidas de uma só vez, mas não tenho certeza se isso poderia quebrar outras coisas.
Você deve seguir uma abordagem melhor ao configurar o TLS.
Siga as configurações recomendadas do Mozilla, uma configuração TLS segura é mais do que desativar o RC4.
Mas desde que você está pedindo para desativar o RC4 com base em sua configuração aqui é:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW
Cifras individuais podem ser desabilitadas através da opção de configuração SSLCipherSuite , adicionando um ponto de exclamação (!) na frente delas.
Portanto, SSLCipherSuite ALL:!RC4 ativará todas as cifras openssl, exceto para RC4.
Na produção, você deve usar algo mais robusto, por exemplo:
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES256-SHA:!ECDHE-RSA-AES256-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-SEED-SHA:!DHE-RSA-CAMELLIA128-SHA:!ECDHE-RSA-AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH
Isso desativará SSLv3 , TLSv1.0 , TLSv1.1 , para que seu servidor só seja acessível via TLSv1.2 .
Tags openssl apache-2.2 centos6