(Por favor, não fechá-lo. Não é duplicado de SSLCipherSuite - desabilita criptografia fraca, cifra cbc e algoritmo baseado em md5 )
Eu uso o Apache 2.2.
Eu comecei a receber a seguinte mensagem do scanner:
Configure SSL/TLS servers to only use TLS 1.1 or TLS 1.2 if supported.
Configure SSL/TLS servers to only support cipher suites that do not use block ciphers. Apply patches if available.
Infelizmente, não posso usar a versão TLS 1.1 (pretendo fazê-lo apenas na próxima versão principal).
Eu quero bloquear as cifras CBC, mas não tive sucesso.
Eu configurei as seguintes cifras, mas isso não ajudou:
SSLCipherSuite HIGH:!ADH:!MD5:-EDH-RSA-DES-CBC3-SHA:-EDH-DSS-DES-CBC3-SHA:-DES-CBC3-SHA
Como evitar cifras CBC ao usar o TLS 1.0 no Apache?
Adicionado
Eu testei meu ambiente com o TestSSLServer como recomendado no OWASP:
link
Eu recebo a seguinte saída:
Supported versions: TLSv1.0
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
TLSv1.0
RSA_WITH_3DES_EDE_CBC_SHA
DHE_RSA_WITH_3DES_EDE_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
DHE_RSA_WITH_AES_128_CBC_SHA
RSA_WITH_AES_256_CBC_SHA
DHE_RSA_WITH_AES_256_CBC_SHA
RSA_WITH_CAMELLIA_128_CBC_SHA
DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
RSA_WITH_CAMELLIA_256_CBC_SHA
DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Eu posso ver apenas cifras de CBC!
É possível evitar cifras de CBC ao usar o TLS 1.0 no Apache?