SSLCipherSuite! 3DES no funciona

Question

SSLCipherSuite! 3DES no funciona

#1 de Duncan (3 votos)
#2 de Steffen Ullrich (0 votos)

0

Siguiendo los consejos que he visto aquí y en otros lugares, estoy tratando de eliminar el soporte en nuestro servidor para estas dos suites que rechazan la prueba del Servidor Labs SSL:

TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Habría pensado que establecer SSLCipherSuite en:

HIGH:!aNULL:!eNULL:!DES:!3DES:!ADH:!EXP:!NULL:!RC4

no permitiría nada con 3DES, pero la prueba de SSL Labs todavía muestra estos dos cifrados "débiles" como compatibles. Intenté agregar

:!DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA

para esa configuración y hacer un reinicio (Apache agraciado), pero no cambia.

SSLProtocol se establece en:

-ALL -SSLv2 -SSLv3 +TLSv1.2

(¿Son redundantes -SSLv2 y v3?)

¿Qué me estoy perdiendo?

tls apache

pregunta user2723901 07.06.2017 - 23:33

fuente

2 respuestas

Lea otras preguntas en las etiquetas tls apache

Usando RSA_verify para verificar una firma, ¿por qué el primer parámetro? Android pinning Handshake SSL Excepción después de la renovación SSL del sitio web

score 3 · Answer 1

3

Probablemente ya esté resuelto pero, tenía exactamente el mismo problema, perdí la voluntad de vivir, pero luego descubrí que era letsencrypt:

enlace

Estaba haciendo grep en CipherSuite en mi carpeta de instalación de apache, pero permite cifrar incluye un archivo fuera de él.

respondido por el Duncan 07.12.2017 - 10:51

fuente

score 0 · Answer 2

El SSLCipherSuite que muestra se ve bien para alcanzar la meta que establece (elimine 3DES) que se puede ver cuando se usa dentro

openssl ciphers -V 'HIGH:!aNULL:!eNULL:!DES:!3DES:!ADH:!EXP:!NULL:!RC4'

Esto muestra los cifrados que deberían ser aceptados por su servidor y se puede ver que ya no hay 3DES.

Si la prueba del servidor se muestra diferente, es posible que esté probando un servidor diferente, entonces el que haya configurado o esta configuración no se aplique, tal vez porque hay otro SSLCipherSuite en alguna parte de su configuración o el reinicio no fue exitoso y la configuración anterior todavía está en uso.

Aparte de eso, recomiendo seguir las pautas de Mozilla para configurar su servidor. Proporcionan las configuraciones adecuadas con respecto a los sistemas de cifrado y la versión del protocolo para los principales servidores SSL. a menos que realmente sepas lo que haces.