私は現在、Centos 6.7マシンでApache 2.2を実行しています。 openSSLでのRC4暗号の使用を無効にする必要があります。これが私の現在のSSL設定です:
SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect. Disable SSLv2 access by default:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
一度に許可される暗号の束を変更することを推奨するさまざまなサイトを見つけましたが、それが他のことを壊す可能性があるかどうかはわかりません。
TLSを構成するときは、より良いアプローチに従う必要があります。
Mozillaからの推奨構成に従ってください。セキュアなTLS構成はRC4を無効にするだけではありません。
https://wiki.mozilla.org/Security/Server_Side_TLS
しかし、あなたはあなたの設定に基づいてRC4を無効にすることを求めているので、ここにあります:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!RC4:+HIGH:+MEDIUM:+LOW
個々の暗号は、その前に感嘆符(!)を追加することにより、SSLCipherSuite
構成オプションを介して無効にすることができます。
したがって、SSLCipherSuite ALL:!RC4
は、RC4を除くすべてのopenssl暗号を有効にします。本番環境では、より堅牢なものを使用する必要があります。次に例を示します。
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES256-SHA:!ECDHE-RSA-AES256-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-SEED-SHA:!DHE-RSA-CAMELLIA128-SHA:!ECDHE-RSA-AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH
これによりSSLv3
、TLSv1.0
、TLSv1.1
が無効になるため、サーバーにはTLSv1.2
経由でのみアクセスできます。