私自身の回答の編集セクションをご覧ください。それらには、この難問の説明が含まれています。
CentOS 6.5 VPSで実行されているApache 2.2.9サーバーのRC4を無効にしようとしていますが、成功しないようです。
最近購入したビジネス検証済み証明書がインストールされ、SSL接続が正常に実行されていますが、いくつかのチュートリアルにあるように、「セキュリティを強化する」ために可能な限り設定を行いました。
Qualys SSL Labsで構成を確認すると、結果ページに「このサーバーはRC4暗号を受け入れますが、これは弱いです。グレードはBに制限されています。」
しかし、私はこれをssl.confに入れました:
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3
この質問の答えにあるスクリプトをtest-ssl-ciphers.shという名前のファイルに保存し、IPアドレスをループバックアドレスに変更しました。これは次の結果です./test-ssl-ciphers.sh | grep -i "RC4"
。
Testing ECDHE-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDHE-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing AECDH-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing ECDH-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDH-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing PSK-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-MD5...NO (no ciphers available)
Testing EXP-ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-KRB5-RC4-SHA...NO (no ciphers available)
Testing EXP-KRB5-RC4-MD5...NO (no ciphers available)
これらの各行には「NO」が含まれます。これは、スクリプトによると、サーバーが指定された暗号の組み合わせをサポートしていないことを意味します。
さらに、このコマンドgrep -i -r "RC4" /etc/httpd
は上記のssl.confファイルのみを提供します。
また、openssl ciphers -V
私の暗号スイートで実行すると、RC4暗号はまったく表示されません。これは、構成文字列を考えると意味があります。
したがって、SSLチェックWebサイトが「サーバーがRC4を受け入れる」と言っている理由について、どういうわけか失われています。さらに、次の暗号も受け入れられているものとしてリストします。
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
誰にも説明がありますか?私は何か間違ったことをしていますか?RC4または「受け入れ」のサポートを構成する別の場所があるかもしれません。
ありがとう。
[ 編集 ]自宅の仮想マシンでCentOS 6.6を使用して、ループバックアドレスの代わりにドメイン名を使用してVPSに対してスクリプトを再度実行しました。このセットアップは、暗号のリストがVMのopensslインスタンスによって提供されることを意味します。YESを生成する暗号の中にRC4がまだありません。