ssl.confSSLCipherSuiteが機能しない

Question

AWSサーバーがあり、 https://www.ssllabs.com/ssltest/ でテストして、正しくセットアップされているかどうかを確認しています。

Type: Amazon Linux AMI 2 Apache version: 2.4.39 OpenSSL: 1.0.2k-fips

結果で暗号スイートを見ていますが、多くの「弱い」暗号が表示されています。

Ssl.conf内でSSLCipherSuiteに変更を加えようとしましたが、何も機能していないようです（たとえば、リストされている暗号スイートを変更することすらできないようです）。 SSLCipherSuiteについてもコメントアウトしましたが、ssllabsの出力にはまったく影響しません。

私のssl.confにはこれがあります：

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite HIGH:!aNULL:!MD5 SSLHonorCipherOrder on

変更するたびに、常にApacheを再起動しました。

私はそれがどこかから暗号スイートを引っ張っているかもしれないと推測することができるだけですか？

私は途方に暮れています、そしてどんな助けもいただければ幸いです。

publicknowledge · Accepted Answer

Letsencryptを証明書プロバイダーとして使用していませんでした。私はこの問題を修正することができました。この問題に遭遇する可能性のある他の人にもこの回答を残したいと思います。

私のhttpd.confには、

IncludeOptional conf.d/*.conf IncludeOptional sites-enabled/*.conf Include /etc/httpd/sites-available/virtualhosts-le-ssl.conf

私のvirtualhosts-le-ssl.confの中には次の行がありました：

Include /etc/letsencrypt/options-ssl-Apache.conf

そのファイルを開いたところ、SSL設定があったので、実際にSSLCipherSuite設定を上書きしているとしか思えません。困惑しているのは、ssl.confを使用してSSLProtocol設定を上書きできますが、SSLCipherSuiteでは同じことができないことです。

virtualhosts-le-ssl.conf内のSSLCipherSuiteを変更した後、ssllabsに表示されている暗号スイートリストを正常に変更することができ、それ以降、それを微調整しました。より安全なものに。

うまくいけば、これは他の誰かを助けるでしょう。

乾杯！