在我的虚拟主机中,我指定禁用TLSv1和TLSv1.1
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off
# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
然后我用 https://www.ssllabs.com/ssltest/analyze.htm
买我还是继续看
Protocols
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
For TLS 1.3 tests, we only support RFC 8446.
在重新运行解析器之前,我重新启动了 apache2 和 sshd,但没有任何变化。
我错过了什么?
编辑:这是一个带有debian 9,apache 2和certbot的新VM,只有一个虚拟主机,我也禁用了默认主机。
可能其他文件中的某些配置冲突或覆盖了我的设置,所以我会调查。
这可能有多种原因,例如
- 您实际上并不测试服务器配置。如果您的服务器前面有 SSL 终止负载均衡器或反向代理,或者您的服务器位于 CDN 后面(Cloudflare、Akamai 等),则可能会发生这种情况。
- 您在同一 IP 地址和端口上有多个虚拟主机,这些虚拟主机具有有关 SSLProtocol 的不同配置。在这种情况下,实际上只会使用其中一个设置,它可能不是您期望的设置。
- 您对 IPv4 和 IPv6 具有不同的配置,并且仅对其中一个配置进行了更改。
- 您对配置的某些部分进行了更改,但这些更改不起作用。
就像接受答案中的状态一样,这是一些冲突的设置。
在我的 VHost 配置中,我包括
Include /etc/letsencrypt/options-ssl-apache.conf
我在虚拟主机之外设置了我的设置。因此,我的设置比包含的设置优先级低。
例如,包括一个没有禁用 TLSv1。
修复了包含的文件,所有工作均按预期工作。
再次感谢乌尔里希@Steffen