我对此做了一些研究,但我很困惑,我想知道是否有人可以给我一些指示。
我有一个用于我的根域的 SSL 证书,以及用于其他几个子域的不同 SSL 证书。 我只为 certbot 自动续订打开端口 80,所有 http 请求都会自动重定向到 https,我已经使用 dry run 标志对此进行了测试,没有任何问题。
我现在正在测试服务器和证书的安全性。 我只允许 TLS 1.3 和更低版本的 tls,因此应禁用它们的密码。
我的 mods-enabled 中的 ssl.conf 文件已指定: SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
但是,无论我做什么,这个 SSL 测试网站仍然报告我使用的是弱密码。 我用来测试我的网站的网站:https://www.ssllabs.com/ssltest/
它报告我仍在使用的密码很弱:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256(0xc027)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384(0xc028)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(0xc013)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA(0xc014)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256(0x67)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256(0x6b)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA(0x39)
TLS_RSA_WITH_AES_128_GCM_SHA256(0x9c)
TLS_RSA_WITH_AES_256_GCM_SHA384(0x9d)
TLS_RSA_WITH_AES_128_CBC_SHA256(0x3c)
TLS_RSA_WITH_AES_256_CBC_SHA256(0x3d)
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) TLS_RSA_WITH_AES_256_CBC_SHA (0x35)
在 Apache conf 文件中,我使用 :-
SSLCipherSuite HIGH:!MEDIUM:!SSLv3:!kRSA:!SHA1:!SHA256:!SHA384:!DSS:!aNULL;
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
这似乎避免了指定每个允许的密码的必要性,但仍然只给出最高的密码。
除非有选项
SSLHonorCipherOrder on
设置完毕,由客户端决定选择较低级别的加密,这就是 https://www.ssllabs.com/ssltest/ 可以使用它们并将它们呈现为弱(您的服务器没有偏好)的原因