Para o servidor http do apache, tente:
SSLProtocol -all +TLSv1
Estou usando o certificado SSL emitido pelo Go Daddy. Na minha instância do Linux, seguem os detalhes do software: -
Nota: - Eu instalo o Apache a partir do pacote RPM e depois instalo o mod_ssl e o openssl do código-fonte.
1) O problema é que quando eu desabilito o SSLv3 e testo o servidor SSL do link ele me avisa que " este servidor não suporta TLSv1.2, que é o melhor atualmente " e quando eu habilito o protocolo TLSv1.2, o mesmo teste me avisa sobre " Este servidor suporta o protocolo SSLv3 e vulnerável ao ataque Poodle " Como desativar o SSLv3 e ativar o TLSv1.2 ao mesmo tempo no servidor? A configuração atual do meu arquivo Vhost sobre o SSL é:
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
2) Não consigo criar um grupo Strong Diffie-Hellman. Current é um grupo Diffie-Hellman de 1024 bits e deseja criar um grupo de 2048 bits para o site. Eu emito este comando para gerar a chave de 2048 bits: -
openssl dhparam -out dhparams.pem 2048
e minha configuração no VHost é:
SSLOpenSSLConfCmd DHParameters /etc/httpd/dhparams.pem
quando eu reiniciar a mensagem de erro do servidor:
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
Como resolver esse problema?
Para o servidor http do apache, tente:
SSLProtocol -all +TLSv1
Como você está implantando sua instância na Amazon, acho que você estava seguindo este tutorial como eu estava fazendo: link
Nesse tutorial, você é encorajado a usar o Letsencrypt para obter uma CA gratuita, o que eu também fiz. Depois de muita pesquisa tentando alterar o arquivo ssl.conf sem sucesso, descobri que o Letsencrypt tem seu próprio arquivo de configuração que sobrescreve tudo o que você digita no arquivo ssl.conf. Basta navegar para
./etc/letsencrypt/options-ssl-apache.conf
e digite suas alterações como você foi instruído a fazer no arquivo ssl.conf. Depois disso, basta reiniciar o apache e suas alterações devem entrar em vigor agora.