Lütfen kendi cevabımdaki DÜZENLEME bölümlerine bakınız; bu muammanın bir açıklamasını içerirler .
CentOS 6.5 VPS üzerinde çalışan bir Apache 2.2.9 sunucusu için RC4'ü devre dışı bırakmaya çalışıyorum ve başarılı olamıyorum.
Kısa süre önce satın alınmış, işletme tarafından onaylanmış bir sertifika yüklenir ve SSL bağlantıları düzgün çalışır, ancak bazı eğiticilerin belirttiği gibi "güvenliği sertleştirmek" için mümkün olan en iyi şekilde yapılandırmak istedim.
Qualys SSL Labs ile yapılandırmayı kontrol ettiğinizde, sonuçlar sayfasında "Bu sunucu zayıf olan RC4 şifresini kabul ediyor. Sınıf B ile sınırlı."
Ancak, ben ssl.conf:
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3
Bu sorunun cevabında verilen komut dosyasını test-ssl-ciphers.sh adlı bir dosyaya kaydettim ve IP adresini geri döngü adresine değiştirdim. Bunun sonucu ./test-ssl-ciphers.sh | grep -i "RC4"
:
Testing ECDHE-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDHE-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing AECDH-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing ECDH-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDH-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing PSK-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-MD5...NO (no ciphers available)
Testing EXP-ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-KRB5-RC4-SHA...NO (no ciphers available)
Testing EXP-KRB5-RC4-MD5...NO (no ciphers available)
Bu satırların her biri, komut dosyasına göre sunucunun belirtilen şifre kombinasyonunu desteklemediği anlamına gelen "HAYIR" içerir.
Ayrıca, komut grep -i -r "RC4" /etc/httpd
bana yalnızca yukarıda belirtilen ssl.conf dosyasını verir.
Ayrıca, openssl ciphers -V
şifre takımımda çalışan hiçbir RC4 şifresi göstermiyor, bu da yapılandırma dizesi verildiğinde mantıklı.
Bu nedenle neden SSL kontrol web sitelerinin bana "sunucu RC4 kabul ettiğini" söylediğini neden kayboldum. Hatta aşağıdaki şifreleri kabul edilmiş olarak listeliyorlar:
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
Muhtemel bir açıklaması olan var mı? Ne yanlış bir şey yapıyorum? Belki de RC4 veya "kabul" desteğinin yapılandırıldığı başka bir yer var mı?
Teşekkürler.
[ EDIT ] Evde sanal bir makinede CentOS 6.6 kullanarak, komut dosyasını geri döngü adresi yerine etki alanı adını kullanarak VPS'imle tekrar çalıştırdım. Bu kurulum, şifrelerin listesinin VM'deki openssl örneği tarafından sağlandığını ima eder: YES veren şifrelerde hala RC4 yok.