Question

为我的Apache服务器设置了此SSL设置：

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

上次我更改了SSLCipherSuite以防止Poodle攻击（删除了SSL3支持），但现在我遇到了Internet Explorer的问题。

无法在Google上找到最佳和实际的CipherSuite设置。我搜索并尝试了几个小时的不同设置。

我使用Qualys SSL Labs来测试设置，而且我获得了'A'等级：https://www.ssllabs.com/ssltest/analyze.html?d=allesonlinekopen.nl

但是有一个问题：

Bing网站管理员控制台给我错误：“网络异常状态：SecureChannelFailure”

当我查看来自Qualys ssl实验室的SSL报告时，它显示所有微软相关程序的握手模拟失败：

BingBot Dec 2013   No SNI 2     Protocol or cipher suite mismatch   Fail3
IE 6 / XP   No FS 1   No SNI 2  Protocol or cipher suite mismatch   Fail3
IE 7 / Vista                    Protocol or cipher suite mismatch   Fail3
IE 8 / XP   No FS 1   No SNI 2  Protocol or cipher suite mismatch   Fail3
IE 8-10 / Win 7  R              Protocol or cipher suite mismatch   Fail3
IE 11 / Win 7  R                Protocol or cipher suite mismatch   Fail3
IE Mobile 10 / Win Phone 8.0    Protocol or cipher suite mismatch   Fail3
IE Mobile 11 / Win Phone 8.1    Protocol or cipher suite mismatch   Fail3

只有赢得10和赢得8.1的IE 11正在运行，因为支持TLS 1.2。

我如何解决这个问题，并为Bingbot和一些旧的计算机提供IE8 +访问我的网站而不使用SSL？

在Qualys SSL实验室获得“A-”成绩时，这也很好。

Answer 1

我从Mozilla发现了这个密码套生成器：https://mozilla.github.io/server-side-tls/ssl-config-generator/

从那个生成器我使用了Apache Intermediate配置，现在问题就解决了。支持Internet Explorer的最佳Chiphersuite将是：

SSLProtocol             all -SSLv2 -SSLv3
SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder     on

唯一的问题是，我现在从Qualys SSL实验室获得A-级，但它正在运作。

Answer 2

我刚刚遇到了您的问题，想要使用以下配置回答您的问题：

<VirtualHost *:443>
    # HTTPS for 1 Year including Sub Domains 
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

您还需要在Apache vhost文件中添加以下内容：

/etc/ssl/certs

最后，您需要在此路径中生成dhparam证书：cd /etc/ssl/certs openssl dhparam -out dhparam.pem 4096

您可以使用以下命令行生成一个：

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

可能需要一些时间，所以请耐心等待，如果已完成，请将其添加到您的Apache配置中，如下所示：

{{1}}

重新启动Apache服务器，然后在SSL Labs站点检查您的CA.

Answer 3

我使用以下密码套件获得A + -Rating：

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK;

这也意味着SSL实验室上的强大的前向保密。

SSLCipherSuite用于Internet Explorer的问题

3 个答案: