我使用的是下面的密码,今天不断更新,如果有不完整的地方不用担心。请帮我禁用 AES128。
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:!AES128
它仍然使用这个:
TLS_AES_128_GCM_SHA256 (0x1301)
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"
<Virtualhost *:443>
SSLEngine On
SSLOptions +StdEnvVars +ExportCertData
SSLCertificateFile "/path/to/trusted/ssl.crt"
SSLcertificateKeyFile "/path/to/its/ssl.key"
</Virtualhost>
根据您的需要调整日志文件位置。如果存在任何漏洞,请通知:)
此配置仅适用于 4096 位证书。您可以将其调整为 2048 位。
我需要在我们托管的站点上删除对弱服务器的支持。这是一个高度安全的网站,客户数据极其敏感,我们的客户和审计员要求我们放弃对弱密码的支持。
我面临的挑战是,我不知道建议客户进行此更改的最佳方法。他们不需要放弃对弱密码的支持,因为他们可能需要连接到其他站点,但他们确实需要确保可以支持强密码。我们知道,有一小部分客户仍在使用弱密码与我们协商 TLS。
那么密码只能在操作系统级别配置吗?所有 TLS/密码逻辑是否都由操作系统专门管理?或者,自定义应用程序(包括浏览器)是否可以包含自己的 TLS/密码逻辑,绕过操作系统配置,甚至使用操作系统上未安装的密码?我看过一些关于在 Chrome 中更改密码的讨论,但我找不到任何关于其工作原理或如何与操作系统密码配置交互的权威声明。
感谢您的任何想法!