Veuillez consulter les sections MODIFIER dans ma propre réponse; ils contiennent une explication à cette énigme .
J'essaie de désactiver RC4 pour un serveur Apache 2.2.9 fonctionnant sur un CentPS 6.5 VPS et je n'arrive pas à réussir.
Un certificat validé par l'entreprise récemment acheté est installé et les connexions SSL fonctionnent bien, mais je voulais configurer les choses aussi bien que possible, pour "renforcer la sécurité" comme le disent certains didacticiels.
En vérifiant la configuration avec Qualys SSL Labs, la page de résultats affiche "Ce serveur accepte le chiffrement RC4, qui est faible. Grade plafonné à B."
Cependant, j'ai mis cela dans ssl.conf:
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3
J'ai enregistré le script donné dans la réponse à cette question dans un fichier nommé test-ssl-ciphers.sh et changé l'adresse IP en une adresse de bouclage. C'est le résultat de ./test-ssl-ciphers.sh | grep -i "RC4"
:
Testing ECDHE-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDHE-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing AECDH-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing ECDH-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDH-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing PSK-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-MD5...NO (no ciphers available)
Testing EXP-ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-KRB5-RC4-SHA...NO (no ciphers available)
Testing EXP-KRB5-RC4-MD5...NO (no ciphers available)
Chacune de ces lignes contient "NO", ce qui, selon le script, signifie que le serveur ne prend pas en charge la combinaison de chiffrement spécifiée.
De plus, la commande grep -i -r "RC4" /etc/httpd
ne me donne que le fichier ssl.conf mentionné ci-dessus.
En outre, l'exécution openssl ciphers -V
sur ma suite de chiffrement ne montre aucun chiffrement RC4, ce qui est logique compte tenu de la chaîne de configuration.
Je suis donc en quelque sorte perdu de savoir pourquoi les sites de vérification SSL me disent que "le serveur accepte RC4". Ils énumèrent même les chiffres suivants comme étant acceptés:
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
Quelqu'un at-il une explication possible? Qu'est-ce que je fais mal? Peut-être y a-t-il un autre endroit où ce support de RC4 ou "acceptation" soit configuré?
Merci.
[ EDIT ] À l'aide d'un CentOS 6.6 dans une machine virtuelle à la maison, j'ai exécuté à nouveau le script sur mon VPS en utilisant son nom de domaine au lieu de l'adresse de bouclage. Cette configuration implique que la liste des chiffres est fournie par l'instance openssl dans la machine virtuelle: je n'ai toujours pas RC4 parmi les chiffres qui donnent OUI.
Les laboratoires SSL Qualys semblent très sensibles aux hôtes par défaut, etc. Vérifiez que TOUS vos hôtes virtuels HTTPS sur cette adresse IP utilisent exactement les mêmes paramètres (à l'exception des fichiers de certificat), j'ai eu un problème similaire où certains des tests Qualys ont été testés par rapport à mon hôte virtuel ciblé et certains des tests semblaient prendre un VirtualHost par défaut. Mon vhost ciblé n'avait qu'un seul chiffrement activé, mais Qualys trouvait une liste beaucoup plus longue à partir du vhost par défaut.
J'ai également trouvé un script plus beau ici qui donne des informations plus détaillées sur les tests SSL.
la source
Je cherchais juste à travers cela pour l'un de mes sites. Sur la base de la réponse de @ AbVog, j'ai trouvé que mes directives n'étaient en fait qu'à l'intérieur du vhost par défaut. Lorsque j'ai déplacé les directives dans le contexte mondial, tout s'est bien passé.
En passant, je suis également tombé sur https://cipherli.st/ qui a une bonne liste de configuration SSL pour un tas de packages différents. La recommandation actuelle pour apache comme suit:
la source
Sur mon Fedora 25 avec Apache / 2.4.25, les chiffres sont gérés par les crypto-politiques (voir / etc / cryptopolicies / backends). La configuration par défaut a RC4 complètement désactivé, donc pas besoin de falsifier les chiffres dans la configuration Apache. Sauf à vous assurer que vous utilisez le dernier ssl.conf car il n'est pas installé par défaut mais laissé en tant que ssl.conf.rpmnew dans le répertoire conf.d.
Afin de configurer SSL, je devais juste spécifier les certificats, ServerName et DocumentRoot. Pour Squirrelmail, c'est.
la source