Mam serwer WWW Apache 2.4.7 z wieloma nazwami domen przy użyciu jednego adresu IP. W wyniku podatności Poodle dodałem następujący SSLCipherSuite
wiersz. Przez jakiś czas działało dobrze, ale użytkownicy zgłaszają problemy z dostępem do strony w przeglądarce Firefox. Proszenie użytkowników o zmianę przeglądarki niestety nie wchodzi w grę, więc muszę zmienić ustawienia, aby obsługiwały TLS 1.0, 1.1 i 1.2.
Obecne ustawienia to:
<VirtualHost ZYX.XYZ.org:443>
DocumentRoot /var/www/ZYX.XYZ/www
ServerName ZYX.XYZ.org
<Directory "/var/www/ZYX.XYZ/">
allow from all
Options -Indexes
</Directory>
SSLEngine on
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
SSLCertificateFile /etc/apache2/ssl/XYZ.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/XYZ.org.key
SSLCACertificateFile /etc/apache2/ssl/gd_bundle-g2-g1.crt
</VirtualHost>
Jeśli spojrzymy na test Qualys , zobaczymy, że serwer obsługuje tylko TLS 1.2.
Jakie byłyby odpowiednie ustawienia dla włączenia TLS 1.0, TLS 1.1 i TLS 1.2, aby strona mogła obsługiwać starsze przeglądarki, a także utrzymywać przyzwoity poziom bezpieczeństwa?
źródło