已禁用 TLS,但 SSL 在线分析器发现它已启用。为什么?
Disabled TLS but SSL online analyzer finds it as enabled. Why?
在我的虚拟主机中,我指定禁用 TLSv1 和 TLSv1.1
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off
# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
然后我用https://www.ssllabs.com/ssltest/analyze.htm
测试
买我反正继续看
Protocols
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
For TLS 1.3 tests, we only support RFC 8446.
我在重新 运行 分析器之前重新启动了 apache2 和 sshd,但没有任何变化。
我错过了什么?
编辑:这是一个带有 debian 9、apache 2 和 certbot 的新 VM,只有一个虚拟主机,我还禁用了默认主机。
可能 其他文件 中的一些配置与我的设置冲突或覆盖了我的设置,所以我会调查一下。
这可能有多种原因,例如
- 您实际上并没有测试您的服务器配置。如果您的服务器前面有 SSL 终止负载平衡器或反向代理,或者如果您的服务器位于 CDN(Cloudflare、Akamai 等)后面,就会发生这种情况。
- 您在同一个 IP 地址和端口上有多个虚拟主机,但有关 SSL 协议的配置不同。在这种情况下只会实际使用其中一项设置,它可能不是您所期望的设置。
- 您对 IPv4 和 IPv6 有不同的配置,并且只对其中一个配置进行了更改。
- 您对部分配置所做的更改没有生效。
与已接受答案中的状态一样,存在一些冲突设置。
在我的 VHost 配置中,我包括
Include /etc/letsencrypt/options-ssl-apache.conf
我在虚拟主机外设置了我的设置。所以我的设置的优先级低于包含的设置。
并包括一个未禁用 TLSv1 的示例。
修复了包含的文件,一切正常。
再次感谢@Steffen Ullrich
在我的虚拟主机中,我指定禁用 TLSv1 和 TLSv1.1
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off
# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
然后我用https://www.ssllabs.com/ssltest/analyze.htm
测试买我反正继续看
Protocols
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
For TLS 1.3 tests, we only support RFC 8446.
我在重新 运行 分析器之前重新启动了 apache2 和 sshd,但没有任何变化。
我错过了什么?
编辑:这是一个带有 debian 9、apache 2 和 certbot 的新 VM,只有一个虚拟主机,我还禁用了默认主机。
可能 其他文件 中的一些配置与我的设置冲突或覆盖了我的设置,所以我会调查一下。
这可能有多种原因,例如
- 您实际上并没有测试您的服务器配置。如果您的服务器前面有 SSL 终止负载平衡器或反向代理,或者如果您的服务器位于 CDN(Cloudflare、Akamai 等)后面,就会发生这种情况。
- 您在同一个 IP 地址和端口上有多个虚拟主机,但有关 SSL 协议的配置不同。在这种情况下只会实际使用其中一项设置,它可能不是您所期望的设置。
- 您对 IPv4 和 IPv6 有不同的配置,并且只对其中一个配置进行了更改。
- 您对部分配置所做的更改没有生效。
与已接受答案中的状态一样,存在一些冲突设置。
在我的 VHost 配置中,我包括
Include /etc/letsencrypt/options-ssl-apache.conf
我在虚拟主机外设置了我的设置。所以我的设置的优先级低于包含的设置。
并包括一个未禁用 TLSv1 的示例。
修复了包含的文件,一切正常。
再次感谢@Steffen Ullrich