我有cipherSuite下面的密碼apache http服務器。掃描後,我發現一些密碼(CBC)很弱,需要刪除。但我無法確定其中哪些實際上是CBC。你能幫忙嗎?如何識別和刪除CipherSuite中的CBC密碼?
僅供參考 - 版本
的Apache 2.4.23; openssl 1.0.2h; RHEL7
的SSLCipherSuite:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES256 -GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256: ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256: ECDHE-ECDSA-AES128-SHA :ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384: ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256: DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256 : DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384: AES128-SHA256:AES256-SHA256:AES:DES-CBC3-SHA: !aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3 -SHA: EDH-RSA-DES-CBC3-SHA:KRB5-DES-CBC3-SHA:3DES
CBC密碼造成的脆弱性:如何在上面套房識別這些? * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA(secp256r1) - 甲 TLS_DHE_RSA_WITH_AES_256_CBC_SHA(DH 2048) - 甲 TLS_RSA_WITH_AES_256_CBC_SHA(RSA 2048) - 甲 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(secp256r1) - 甲 TLS_DHE_RSA_WITH_AES_128_CBC_SHA(DH 2048) - 甲 TLS_RSA_WITH_AES_128_CBC_SHA(RSA 2048) - A *
我發現了一些帶有「CBC3」的密碼,但是當我刪除它們時,Apache沒有響應https請求。
DES-CBC3-SHA是TLS_RSA_WITH_3DES_EDE_CBC_SHA。 – zaph
好的。但是當我刪除「DES-CBC3-SHA」時,apache沒有響應任何https請求。我哪裏錯了? – Fred