【发布时间】:2018-12-19 14:49:49
【问题描述】:
客户要求我在 Web 服务器上禁用 TLSv1 和 TLSv1.1。服务器正在运行 Apache 2.4.8。和 OpenSSL 1.0.2g。
我已将指令添加到/etc/apache2/mods-enabled/ssl.conf:
SSLProtocol TLSv1.2
重新启动 Apache2 并在 SSL Labs(和其他两个工具)上运行测试表明 TLSv1 和 1.1 仍处于启用状态。我已经尝试了很多 SSLProtocol 指令的变体,基于谷歌搜索:
SSLProtocol -all +TLSv1.2
SSLProtocol +TLSv1.2 -TLSv1.1 -TLSv1
SSLProtocol +all -TLSv1.1 -TLSv1
它们都不起作用。我还尝试将指令添加到/etc/apache2/apache2.conf。这也没什么区别。
我不知道如何继续。任何帮助表示赞赏!
【问题讨论】:
-
您是否 100% 确定您更改的配置行是考虑在内的?您是否在本地尝试使用
openssl s_client?还是使用 testssl.sh 或 github.com/noxxi/p5-ssl-tools/blob/master/analyze-ssl.pl ?因为SSLProtocol TLSv1.2本身就足够了,请参阅serverfault.com/questions/848177/… 您还可以在那里看到 sslabs 缓存报告,因此您看到的结果可能不是实时的……最好先在本地检查。