ssl - 如何在 centos 7 上的 apache 2.4 上禁用密码 CBC

Question

晕所有，

我想在 apache2.4 上禁用密码 CBC，因为当我使用 kali linux(使用 ./testssl -U mydomain.com)对我的 SSL 配置进行渗透测试时，我收到了如下图所示的一些通知。 pentest my ssl configure with testssl

我希望有人可以帮助我禁用密码 CBC。

这是我在/etc/httpd/conf.d/ssl.conf中的配置

SSLProtocol -所有+TLSv1.1 +TLSv1.2

SSLCipherSuite HIGH:!aNULL:!eNULL:!kECDH:!aDH:!RC4:!3DES:!CAMELLIA:!MD5:!PSK:!SRP:!KRB5:@STRENGTH

Answer 1

根据 Apache 用户邮件列表，这会给您 SSL 实验室的 A+，从而达到您的目标:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS