我有cipherSuite下面的密码apache http服务器。扫描后,我发现一些密码(CBC)很弱,需要删除。但我无法确定其中哪些实际上是CBC。你能帮忙吗?如何识别和删除CipherSuite中的CBC密码?
仅供参考 - 版本
的Apache 2.4.23; openssl 1.0.2h; RHEL7
的SSLCipherSuite:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES256 -GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256: ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256: ECDHE-ECDSA-AES128-SHA :ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384: ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256: DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256 : DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384: AES128-SHA256:AES256-SHA256:AES:DES-CBC3-SHA: !aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3 -SHA: EDH-RSA-DES-CBC3-SHA:KRB5-DES-CBC3-SHA:3DES
CBC密码造成的脆弱性:如何在上面套房识别这些? * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA(secp256r1) - 甲 TLS_DHE_RSA_WITH_AES_256_CBC_SHA(DH 2048) - 甲 TLS_RSA_WITH_AES_256_CBC_SHA(RSA 2048) - 甲 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(secp256r1) - 甲 TLS_DHE_RSA_WITH_AES_128_CBC_SHA(DH 2048) - 甲 TLS_RSA_WITH_AES_128_CBC_SHA(RSA 2048) - A *
我发现了一些带有“CBC3”的密码,但是当我删除它们时,Apache没有响应https请求。
DES-CBC3-SHA是TLS_RSA_WITH_3DES_EDE_CBC_SHA。 – zaph
好的。但是当我删除“DES-CBC3-SHA”时,apache没有响应任何https请求。我哪里错了? – Fred