0

我想在我的服务器 httpd-ssl.conf 中设置“强制使用 TLS 1.2”

SSLProtocol -all +TLSv1.2

但我也在考虑是否某些客户端模块不支持 TLS 1.2,我想给它一个例外,即 TLS 1.x 是可以接受的。

我能做这样的事吗?
例如,禁用特定 URL 路径 ( https:///specific/path/ ) 或特定服务或类似内容中的 TLS_1.2 限制。

谢谢!

4

2 回答 2

1

只有在成功的 TLS 握手之后才知道路径组件。另外,可以在同一个 TCP 连接中完成多个 HTTP 请求(具有不同的路径)。虽然理论上服务器可以首先允许与旧协议版本的 TLS 握手,然后如果客户端使用已建立的 TLS 会话访问需要更好 TLS 版本的路径,则断开连接我不认为这可以配置阿帕奇。

于 2016-10-07T10:44:10.510 回答
0

这可能对 APACHE 有所帮助:https ://httpd.apache.org/docs/trunk/ssl/ssl_howto.html

如何创建一个通常接受多种类型密码但需要强密码才能访问特定 URL 的 SSL 服务器?显然,将密码限制为强变体的服务器范围的 SSLCipherSuite 不是这里的答案。但是,mod_ssl 可以在 Location 块中重新配置,以提供每个目录的解决方案,并且可以自动强制重新协商 SSL 参数以满足新配置。这可以按如下方式完成:

# be liberal in general -- use Mozilla's "Intermediate" ciphersuites (weaker
# ciphersuites may also be used, but will not be documented here)
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

<Location "/strong/area">
# but https://hostname/strong/area/ and below requires strong ciphersuites
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
</Location>
于 2021-02-18T22:48:22.280 回答