如何识别和删除CipherSuite中的CBC密码？

Question

我有cipherSuite下面的密码apache http服务器。扫描后，我发现一些密码（CBC）很弱，需要删除。但我无法确定其中哪些实际上是CBC。你能帮忙吗？

仅供参考 - 版本

的Apache 2.4.23; openssl 1.0.2h; RHEL7

的SSLCipherSuite：

ECDHE-RSA-AES128-GCM-SHA256：ECDHE-ECDSA-AES128-GCM-SHA256：ECDHE-RSA-AES256-GCM-SHA384： ECDHE-ECDSA-AES256 -GCM-SHA384：DHE-RSA-AES128-GCM-SHA256：DHE-DSS-AES128-GCM-SHA256： ECDHE-RSA-AES128-SHA256：ECDHE-ECDSA-AES128-SHA256： ECDHE-ECDSA-AES128-SHA ：ECDHE-RSA-AES256-SHA384：ECDHE-ECDSA-AES256-SHA384： ECDHE-ECDSA-AES256-SHA：DHE-RSA-AES128-SHA256： DHE-DSS-AES128-SHA256：DHE-RSA-AES256-SHA256 ： DHE-DSS-AES256-SHA：AES128-GCM-SHA256：AES256-GCM-SHA384： AES128-SHA256：AES256-SHA256：AES：DES-CBC3-SHA： ！aNULL：！eNULL：！EXPORT：！DES：！RC4：！MD5：！PSK：！aECDH：！EDH-DSS-DES-CBC3 -SHA： EDH-RSA-DES-CBC3-SHA：KRB5-DES-CBC3-SHA：3DES

CBC密码造成的脆弱性：如何在上面套房识别这些？ * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA（secp256r1） - 甲 TLS_DHE_RSA_WITH_AES_256_CBC_SHA（DH 2048） - 甲 TLS_RSA_WITH_AES_256_CBC_SHA（RSA 2048） - 甲 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA（secp256r1） - 甲 TLS_DHE_RSA_WITH_AES_128_CBC_SHA（DH 2048） - 甲 TLS_RSA_WITH_AES_128_CBC_SHA（RSA 2048） - A *

我发现了一些带有“CBC3”的密码，但是当我删除它们时，Apache没有响应https请求。

Answer 1

任何与CBC密码的名称是CBC密码，可以删除。为了提高安全性，您还应该将密码从最强到最弱，并在您的配置中设置SSLHonorCipherOrder on和SSLProtocol all -SSLv3。

Mozilla拥有一个用于生成安全Web服务器配置的简洁工具，您可能会发现它很有用，特别是针对您的Apache和OpenSSL版本的modern cipher suite配置。之后，请尝试Qualsys SSL Labs Test以了解您的工作方式。