我在cipherSuite中有以下密码的apache http服务器。扫描后我发现一些密码(CBC)很弱,需要删除。但我无法确定其中哪些实际上是CBC。你能帮忙吗?
仅供参考 - 版本
Apache 2.4.23; openssl 1.0.2h; RHEL7
的SSLCipherSuite:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256: ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256: ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384: ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256: DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256: DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384: AES128-SHA256:AES256-SHA256:AES:DES-CBC3-SHA: !A零位:ENULL:EXPORT:DES:RC4:MD5:PSK:aECDH:EDH-DSS-DES-CBC3-SHA: !EDH-RSA-DES-CBC3-SHA:KRB5-DES-CBC3-SHA:3DES
CBC密码导致漏洞:如何识别上述套件中的这些? * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA(secp256r1) - A TLS_DHE_RSA_WITH_AES_256_CBC_SHA(dh 2048) - A. TLS_RSA_WITH_AES_256_CBC_SHA(rsa 2048) - A. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(secp256r1) - A TLS_DHE_RSA_WITH_AES_128_CBC_SHA(dh 2048) - A. TLS_RSA_WITH_AES_128_CBC_SHA(rsa 2048) - A *
我发现了一些带有“CBC3”的密码,但是当我删除它们时,Apache没有响应https请求。
答案 0 :(得分:2)
名称中包含CBC的密码是CBC密码,可以删除。为了提高安全性,您还应该将密码从最强到最弱排序,并在配置中设置SSLHonorCipherOrder on和SSLProtocol all -SSLv3。
Mozilla有一个简洁的工具,可用于生成您可能觉得有用的安全Web服务器配置,尤其是Apache和OpenSSL版本的modern cipher suite配置。之后,试试Qualsys SSL Labs Test,看看你是怎么做的。