Silakan, lihat bagian EDIT dalam jawaban saya sendiri; mereka berisi penjelasan untuk teka-teki ini .
Saya mencoba untuk menonaktifkan RC4 untuk server Apache 2.2.9 yang berjalan pada CentOS 6.5 VPS dan sepertinya saya tidak berhasil.
Sertifikat yang divalidasi bisnis yang baru dibeli diinstal dan koneksi SSL berfungsi dengan baik, tetapi saya ingin mengonfigurasi beberapa hal sebaik mungkin, untuk "memperkeras keamanan" seperti yang dijelaskan oleh beberapa tutorial.
Memeriksa konfigurasi dengan Qualys SSL Labs, halaman hasil menunjukkan "Server ini menerima cipher RC4, yang lemah. Nilai dibatasi hingga B."
Namun, saya telah meletakkan ini di ssl.conf:
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3
Saya telah menyimpan skrip yang diberikan dalam jawaban untuk pertanyaan ini dalam file bernama test-ssl-ciphers.sh dan mengubah alamat IP menjadi alamat loopback. Ini adalah hasil dari ./test-ssl-ciphers.sh | grep -i "RC4"
:
Testing ECDHE-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDHE-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing AECDH-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing ECDH-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDH-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing PSK-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-MD5...NO (no ciphers available)
Testing EXP-ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-KRB5-RC4-SHA...NO (no ciphers available)
Testing EXP-KRB5-RC4-MD5...NO (no ciphers available)
Setiap baris ini berisi "TIDAK", yang menurut skrip, berarti server tidak mendukung kombinasi sandi yang ditentukan.
Selain itu, perintah grep -i -r "RC4" /etc/httpd
hanya memberi saya file ssl.conf yang disebutkan di atas.
Juga, berjalan openssl ciphers -V
pada cipher suite saya tidak menunjukkan cipher RC4 sama sekali, yang masuk akal mengingat string konfigurasi.
Karena itu saya entah bagaimana kehilangan mengapa situs web cek SSL mengatakan kepada saya bahwa "server menerima RC4". Mereka bahkan mendaftar cipher berikut sebagai diterima:
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
Adakah yang punya penjelasan yang memungkinkan? Apa yang saya lakukan salah? Mungkin ada tempat lain di mana dukungan RC4 atau "penerimaan" dikonfigurasi?
Terima kasih.
[ EDIT ] Menggunakan CentOS 6.6 di mesin virtual di rumah, saya menjalankan skrip terhadap VPS saya menggunakan nama domainnya alih-alih alamat loopback. Pengaturan ini menyiratkan bahwa daftar cipher disediakan oleh instance openssl di VM: Saya masih tidak memiliki RC4 di antara cipher yang menghasilkan YA.