如何在 ubuntu 12.04 中禁用密码 RC4

信息安全 tls 阿帕奇 密码选择
2021-08-14 22:18:50

我一直在为我们的盒子进行网络扫描,Ncircle 报告SSL Server support RC4 ciphers for SSLv3基于此,我进行了搜索,并计划添加/etc/apache/conf.d/security以下内容:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

所以如果我理解得很好,这个符号!就像编程语言中的否定一样,那么我的规则应该如下:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

我继续阅读报告,有人抱怨支持 CBC弱 MAC

我搜索了一下,发现了 2 个博客hynek.meraymii.org我有点困惑。哪个指令最近解决了我当前的问题。

我需要一点启迪才能采摘这个。谢谢

编辑:

经过很多麻烦和阅读。我想出了这个:

ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT

我已经检查过 

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4

我不确定这是否足够好。我怀疑某些浏览器可能存在兼容性问题。

1个回答

您的列表中仍有一些 RC4 密码。要检查服务器提供了哪些密码,请将您的列表输入“openssl ciphers -V”,即

  $ openssl ciphers -V 'ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT' | grep RC4
      0xC0,0x11 - ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
      0xC0,0x07 - ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
      0xC0,0x16 - AECDH-RC4-SHA           SSLv3 Kx=ECDH     Au=None Enc=RC4(128)  Mac=SHA1
      0xC0,0x0C - ECDH-RSA-RC4-SHA        SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0xC0,0x02 - ECDH-ECDSA-RC4-SHA      SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0x00,0x8A - PSK-RC4-SHA             SSLv3 Kx=PSK      Au=PSK  Enc=RC4(128)  Mac=SHA1

如何正确配置服务器的一个很好的来源是 ssllabs.com。有关有用密码设置的示例,请参见https://community.quallys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy

其它你可能感兴趣的问题
上一篇使用客户端证书进行身份验证 下一篇密钥在密钥服务器上保留多长时间?