Não é possível desativar o TLSv1 e o RC4-SHA

3

Eu preciso remover o suporte a TLSv1 e RC4-SHA no Centos 7.

Eu tenho estas linhas no meu ssl.conf

SSLProtocol +TLSv1.2 +TLSv1.1 -TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA"

E eu estou verificando se o RC4 e o TLSv1 ainda são suportados usando este comando

sslscan --no-failed xxx.xxx.xxx.xxx:1337

sslscan me deu esse resultado:

Supported Server Cipher(s):

Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  256 bits  CAMELLIA256-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  128 bits  CAMELLIA128-SHA
Accepted  TLSv1  128 bits  DES-CBC3-SHA
**Accepted  TLSv1  128 bits  RC4-SHA**
Accepted  TLS11  256 bits  AES256-SHA
Accepted  TLS11  256 bits  CAMELLIA256-SHA
Accepted  TLS11  128 bits  AES128-SHA
Accepted  TLS11  128 bits  CAMELLIA128-SHA
Accepted  TLS11  128 bits  DES-CBC3-SHA
**Accepted  TLS11  128 bits  RC4-SHA**
Accepted  TLS12  256 bits  AES256-GCM-SHA384
Accepted  TLS12  256 bits  AES256-SHA256
Accepted  TLS12  256 bits  AES256-SHA
Accepted  TLS12  256 bits  CAMELLIA256-SHA
Accepted  TLS12  128 bits  AES128-GCM-SHA256
Accepted  TLS12  128 bits  AES128-SHA256
Accepted  TLS12  128 bits  AES128-SHA
Accepted  TLS12  128 bits  CAMELLIA128-SHA
Accepted  TLS12  128 bits  DES-CBC3-SHA
**Accepted  TLS12  128 bits  RC4-SHA**

Aparentemente, o RC4-SHA ainda é aceito e estou tentando configurar para não suportar nenhum RC4 e TLSv1. Existe uma maneira de resolver isso?

    
por EMP 12.06.2016 / 08:38

1 resposta

1

Sua configuração funciona quando eu a uso em um host virtual recém-configurado no Apache v2.2 e v2.4. Então, eu tenho medo que você esteja fazendo algo errado.

  1. Você não reiniciou o Apache
  2. O URL que você está testando está errado de alguma forma
  3. Você tem configurações conflitantes que não encontrou (como @garethTheRed mencionou)

Sugiro que você faça o seguinte:

  1. Execute um ponto de início / término para o apache (certificando-se de que o Apache não esteja em execução no meio), apenas para ter certeza da configuração em execução
  2. Execute apachectl -S e verifique seus hosts virtuais. Coloque a saída em sua pergunta se você não tiver certeza.
  3. Configure um novo host virtual SSL bare bones e teste isso para ter certeza de que tudo está ok

Também sugeriria alterar a lista de codificação para algo mais seguro, como

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

Esta lista de códigos foi retirada do link

    
por 02.10.2016 / 09:36