Não se incomode.
Veja Por que o HMAC-SHA1 ainda é considerado seguro?
Não confunda o uso de SHA1 como um algoritmo de assinatura de certificado (que é inseguro ) com o uso de SHA1 no HMAC de uma suíte de criptografia.
Estou usando o apache 2.2.15 e estou prestes a torná-lo o mais seguro possível. Quando faço uma verificação de um dos meus sites através do Teste Qualys SSL. link
Ele lista os seguintes processos de criptografia:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
De alguma forma eu quero me livrar da linha com _SHA , porque isso deve ser coberto pela linha acima (2nd) com _SHA384 .
Eu tenho a seguinte configuração de vhost:
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite EECDH+AES256GCM:AES256+EECDH
Como devo alterar SSLCipherSuite para me livrar da última linha _SHA ?
Não se incomode.
Veja Por que o HMAC-SHA1 ainda é considerado seguro?
Não confunda o uso de SHA1 como um algoritmo de assinatura de certificado (que é inseguro ) com o uso de SHA1 no HMAC de uma suíte de criptografia.
Tags security ssl apache-2.2