TLS отключен, но анализатор SSL в сети находит его включенным. Зачем? - PullRequest
Новая
       46

TLS отключен, но анализатор SSL в сети находит его включенным. Зачем?

0 голосов
/ 26 января 2019

В моем виртуальном хосте я указал отключить TLSv1 и TLSv1.1 

SSLProtocol                      all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite                   ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

SSLHonorCipherOrder              on
SSLCompression                   off
SSLSessionTickets                off

# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling                   on
SSLStaplingResponderTimeout      5
SSLStaplingReturnResponderErrors off
SSLStaplingCache                 shmcb:/var/run/ocsp(128000)

Затем я проверил, используя https://www.ssllabs.com/ssltest/analyze.htm

Покупаю я все равно продолжаю видеть 

Protocols
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3   No
SSL 2   No
For TLS 1.3 tests, we only support RFC 8446.

Я перезапустил apache2 и sshd перед повторным запуском анализатора, но ничего не изменилось.

Чего мне не хватает?

РЕДАКТИРОВАТЬ: это новая виртуальная машина с Debian 9, Apache 2 и Certbot, только с одним виртуальным хостом, и я также отключил по умолчанию.

Возможно, некоторые настройки в других файлах противоречат или переопределяют мои настройки, поэтому я буду исследовать.

Ответы [ 2 ]

0 голосов
/ 27 января 2019

Как и состояние в принятом ответе, были некоторые противоречивые настройки.

В моем конфиге VHost я включал 

Include /etc/letsencrypt/options-ssl-apache.conf

И я настраиваю мои настройки вне vhost. Поэтому мои настройки имеют меньший приоритет, чем включенные.

И, в том числе, один не отключил TLSv1, например.

Исправлен включенный файл, все работает как положено.

Еще раз спасибо @ Steffen Ullrich

0 голосов
/ 26 января 2019

Для этого может быть несколько причин, например

  • Вы на самом деле не тестируете конфигурацию своего сервера. Это может произойти, если перед вашим сервером установлен балансировщик нагрузки, завершающий SSL или обратный прокси-сервер, или если ваш сервер находится за CDN (Cloudflare, Akamai, ...).
  • У вас есть несколько виртуальных хостов с одним и тем же IP-адресом и портом с различными конфигурациями, относящимися к SSLProtocol. В этом случае будет фактически использоваться только одна из настроек, и она может не соответствовать ожидаемой.
  • У вас есть разные конфигурации для IPv4 и IPv6, и вы внесли изменения только в одну из этих конфигураций.
  • Вы внесли изменения в части конфигурации, которые не действуют.
...