GoDaddyが発行したSSL証明書を使用しています。私のLinuxインスタンスのソフトウェアの詳細は次のとおりです。
- Apache バージョン - Apache/2.4.16(Amazon)
- Opensslバージョン - OpenSSL 1.0.2c 2015年6月12日
- mod_sslバージョン - mod_ssl-2.4.2
注: - RPMパッケージからApacheをインストールし、ソースからmod_sslとopensslをインストールしました。
1)問題は、SSLv3を無効にしてSSLサーバーをテストするときです。 https://www.ssllabs.com/ssltest/それは私に警告する「このサーバーは現在最高のTLSv1.2をサポートしていません。」TLSv1.2 プロトコルをイネーブルにすると、同じテストで警告が表示されます。「このサーバーはSSLv3プロトコルをサポートし、プードル攻撃に対して脆弱です。」 SSLv3を無効にし、同時にサーバーでTLSv1.2を有効にする方法は? SSL用のVhostファイルの現在の構成は次のとおりです。
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
2)強力なDiffie-Hellmanグループを作成することはできません。私は現在1024ビットDiffie-Hellmanグループであり、このサイトの2048ビットグループを作成したいと思います。 2048ビットキーを生成するには、次のコマンドを実行します。
openssl dhparam -out dhparams.pem 2048
VHostの私の設定は次のとおりです。
SSLOpenSSLConfCmd DHParameters /etc/httpd/dhparams.pem
サーバーを再起動すると、エラーメッセージが表示されます。
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
この問題をどのように解決しますか?
ベストアンサー1
Apache httpサーバーの場合は、次のことを試してください。
SSLProtocol -all +TLSv1