禁用了TLS,但SSL在线分析器发现它已启用。为什么?

时间:2019-01-26 16:06:23

标签: ssl https apache2.4

在我的虚拟主机中,我指定禁用TLSv1和TLSv1.1

SSLProtocol                      all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite                   ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

SSLHonorCipherOrder              on
SSLCompression                   off
SSLSessionTickets                off

# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling                   on
SSLStaplingResponderTimeout      5
SSLStaplingReturnResponderErrors off
SSLStaplingCache                 shmcb:/var/run/ocsp(128000)

然后我使用https://www.ssllabs.com/ssltest/analyze.htm

进行了测试

无论如何,我还是买

Protocols
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3   No
SSL 2   No
For TLS 1.3 tests, we only support RFC 8446.

在重新运行分析器之前,我重新启动了apache2和sshd,但是没有任何改变。

我想念什么?

编辑:这是一个带有debian 9,apache 2和certbot的新VM,只有一个虚拟主机,并且我还禁用了默认主机。

其他文件中的某些配置可能与我的设置冲突或不正确,所以我将进行调查。

2 个答案:

答案 0 :(得分:1)

可能有多种原因,例如

  • 您实际上并没有测试服务器配置。如果服务器前面有一个SSL终止负载平衡器或反向代理,或者如果服务器位于CDN(Cloudflare,Akamai等)的后面,则可能发生这种情况。
  • 您在同一IP地址和端口上具有多个虚拟主机,这些虚拟主机具有关于SSLProtocol的不同配置。在这种情况下,实际上只会使用其中一种设置,而可能不是您期望的。
  • 您对IPv4和IPv6具有不同的配置,并且仅对其中一种配置进行了更改。
  • 您对配置的部分进行了更改,这些更改无效。

答案 1 :(得分:0)

就像接受答案中的状态一样,设置有些冲突。

在我的VHost配置中,我包括了

Include /etc/letsencrypt/options-ssl-apache.conf

然后在虚拟主机外部设置我的设置。因此,我的设置比包含的优先级要低。

例如,其中包括一个“不禁用TLSv1”。

修复了包含的文件,所有文件均按预期工作。

再次感谢@Steffen Ullrich