Apache einschließlich Chiffren, die nicht ausdrücklich zulässig sind (TLS 1.3) ⇐ Apache

[Anonymous]

Ich bin dabei, einen Apache-Webserver so zu konfigurieren, dass nur die von der NIST genehmigte Verschlüsselung verwendet wird (speziell FIPS 140-2/140-3 konform). Einfach genug, oder?

Code: Select all

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder on
< /code>
SSllabs zeigt die Änderung, viele der zuvor enthaltenen Verschlüsselungssuiten werden jetzt entfernt (erfasst aus SSlllabs -Bericht): < /p>
Cipher Suites

# TLS 1.3 (suites in server-preferred order)
TLS_AES_256_GCM_SHA384 (0x1302)
TLS_CHACHA20_POLY1305_SHA256 (0x1303)
TLS_AES_128_GCM_SHA256 (0x1301)

# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
< /code>
Das [url=viewtopic.php?t=15738]Problem[/url] ist, dass chacha20_poly1305 über TLS 1.3 noch aufgeführt ist. Da diese Suite nicht validiert ist, versuche ich, sie zu entfernen. Was ich auch als der Fall annehme, da alle anderen 'Standard' -Suiten erfolgreich entfernt wurden.SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:!CHACHA20:!POLY1305

Vorschläge?