Não é possível desabilitar o RC4

2

Estou tentando desativar as cifras RC4 usando essa configuração no apache:

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

Mas o Qualys SSLTest ainda está dizendo que estou usando o RC4, embora exista esse !RC4 flag.

Eu também tentei isso:

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

Estou usando o Apache 2.4 e o OpenSSL 1.0.1j

Obrigado

    
por Rogerio Chaves 13.02.2015 / 00:50

3 respostas

2

Tente isto:

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 !EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

Mudanças:

  1. EECDH+aRSA+RC4 se tornou !EECDH+aRSA+RC4
  2. Remover RC4

Reinicie o servidor da web, limpe o cache no Qualys SSLTest.

    
por 13.02.2015 / 09:55
3

Bem, o primeiro inclui o RC4, assim como o! RC4. Deve conter apenas RC4. O segundo não desabilita explicitamente o RC4 por meio de um parâmetro! RC4. Não esqueça de reiniciar o apache após as alterações de configuração.

    
por 13.02.2015 / 00:58
1

Remover todas as referências RC4 deve ser suficiente, por isso, se você já fez isso, você deve verificar se está acessando o host virtual correto.

    
por 13.02.2015 / 15:59