Desativar a cifra RC4 para o Apache 2.2

3

Atualmente, estou executando o Apache 2.2 em uma máquina Centos 6.7. Eu preciso desativar o uso da cifra RC4 em openSSL. Aqui está minha configuração atual do SSL:

SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect.  Disable SSLv2 access by default:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

#   SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

Eu encontrei vários sites recomendando alterar um monte de cifras permitidas de uma só vez, mas não tenho certeza se isso poderia quebrar outras coisas.

    
por vondiggity 26.07.2016 / 20:44

2 respostas

2

Você deve seguir uma abordagem melhor ao configurar o TLS.

Siga as configurações recomendadas do Mozilla, uma configuração TLS segura é mais do que desativar o RC4.

link

Mas desde que você está pedindo para desativar o RC4 com base em sua configuração aqui é:

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW
    
por 26.07.2016 / 22:28
3

Cifras individuais podem ser desabilitadas através da opção de configuração SSLCipherSuite , adicionando um ponto de exclamação (!) na frente delas.

Portanto, SSLCipherSuite ALL:!RC4 ativará todas as cifras openssl, exceto para RC4. Na produção, você deve usar algo mais robusto, por exemplo:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES256-SHA:!ECDHE-RSA-AES256-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-SEED-SHA:!DHE-RSA-CAMELLIA128-SHA:!ECDHE-RSA-AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH

Isso desativará SSLv3 , TLSv1.0 , TLSv1.1 , para que seu servidor só seja acessível via TLSv1.2 .

    
por 26.07.2016 / 22:05