【发布时间】:2022-06-19 14:09:20
【问题描述】:
我的 /etc/letsencrypt/options-ssl-apache.conf 中有这个配置
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off
问题是我得到了这个弱密码
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) WEAK
我知道它的等效名称是DES-CBC3-SHA。
如何从上述列表中删除此密码?请注意,它不在SSLCipherSuite 列表中
【问题讨论】:
-
我建议您显示的配置不是从外部访问该站点时实际处于活动状态的配置。可能有一个特定于您正在使用的服务器名称的配置,它前面可能有一个反向代理(或负载均衡器或 WAF),具有不同的配置或类似的配置。
-
我真的对这个话题没有太多的想法,因为我只是负责做这件事。我们实际上有 2 台服务器正在运行。一台服务器使用上述配置,而另一台服务器使用 TLS_RSA_WITH_3DES_EDE_CBC_SHA。难道这就是它出现的原因吗?
-
“难道这就是它展示的原因?” - 也许,也许不是。除了一台服务器的配置中的一个小 sn-p 以及至少涉及另一台服务器的信息之外,基本上对您的基础架构一无所知。
标签: ssl