Estou tentando desativar as cifras RC4 usando essa configuração no apache:
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
Mas o Qualys SSLTest ainda está dizendo que estou usando o RC4, embora exista esse !RC4 flag.
Eu também tentei isso:
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
Estou usando o Apache 2.4 e o OpenSSL 1.0.1j
Obrigado
Tente isto:
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 !EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
Mudanças:
EECDH+aRSA+RC4 se tornou !EECDH+aRSA+RC4
RC4
Reinicie o servidor da web, limpe o cache no Qualys SSLTest.
Bem, o primeiro inclui o RC4, assim como o! RC4. Deve conter apenas RC4. O segundo não desabilita explicitamente o RC4 por meio de um parâmetro! RC4. Não esqueça de reiniciar o apache após as alterações de configuração.
Remover todas as referências RC4 deve ser suficiente, por isso, se você já fez isso, você deve verificar se está acessando o host virtual correto.
Tags tls apache-2.2