私はcipherSuiteに以下の暗号を持つapache httpサーバーを持っています。スキャンの後、暗号の一部(CBC)が弱く、削除する必要があることがわかりました。しかし、私はそれらのうちのどれが実際にCBCであるかを特定することができません。あなたは助けてもらえますか?CipherSuiteでCBC暗号を特定して削除するにはどうすればよいですか?
FYI - バージョンが
のApache 2.4.23です。 openssl 1.0.2h; RHEL7
いるSSLCipherSuite:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES256 ECDHE-ECDSA-AES128-SHA256: ECDHE-ECDSA-AES128-SHA-DHM-SHA384: DHE-RSA-AES256-SHA256:DHCD-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384: : DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:!a4a:!eNULL:!エクスポート:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3 -SHA:上記のスイートでこれらを識別するための方法: EDH-RSA-DES-CBC3-SHA:!!KRB5-DES-CBC3-SHA:!脆弱性の原因となっ3DES
CBC暗号? * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA(secp256r1) - TLS_DHE_RSA_WITH_AES_256_CBC_SHA(2048 DH) - TLS_RSA_WITH_AES_256_CBC_SHA(2048 RSA) - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(secp256r1) - TLS_DHE_RSA_WITH_AES_128_CBC_SHA(2048 DH) - TLS_RSA_WITH_AES_128_CBC_SHA(RSA 2048) - A *
「CBC3」の暗号がいくつか見つかりましたが、削除するとApacheはhttps要求に応答しません。
DES-CBC3-SHAはTLS_RSA_WITH_3DES_EDE_CBC_SHAです。 – zaph
しかし、 "DES-CBC3-SHA"を削除すると、Apacheはhttps要求に応答しません。どこが間違っていますか? – Fred