El paso a paso o código que hallarás en este post es la resolución más sencilla y efectiva que encontramos a tus dudas o dilema.
Solución:
Mientras instalaba el certificado renovado, descubrí que el problema estaba causado por especificar (para el dominio y para cada subdominio) en ISPConfig todo el conjunto de datos necesarios para HTTPS: certificado, privado key, cadena CA, etc.
Dicho de otra manera, la eliminación del conjunto de datos condujo a la prueba Qualys para calificar el dominio A y al mismo tiempo eliminar las advertencias sobre RC4. Volver a poner los detalles lleva a que las advertencias regresen y la calificación se limite a B nuevamente, lo que no deja lugar a dudas sobre el vínculo de causalidad.
Es como si la entrega de los detalles para cada host virtual de alguna manera creara un nuevo entorno en el que algunos valores predeterminados anularon el conjunto de cifrado que especifiqué en ssl.conf. Extraño.
La solución es agregar la especificación SSLCipherSuite en el Directivas de Apache área de texto para cada vhost. Esto es lo que tengo en la configuración que me da una calificación de A:
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder on
# Compression is disabled by default on my distribution (CentOS 6)
# SSLCompression off
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
EDITAR (2017-05-16): Un hallazgo adicional sobre este problema: la especificación de SSLCipherSuite
es obligatorio. No puedo entender por qué esa directiva específica, aunque especificada a nivel de servidor, no se aplica automáticamente a las configuraciones de host virtual.. Estoy ejecutando Apache 2.2.15 en CentOS 6.9.
EDITAR (2018-06-18): Más información. Acabo de descubrir que el SSLCipherSuite
La directiva se puede especificar una sola vez y se aplicará a todos los hosts virtuales: en el archivo de configuración base mod_ssl (en CentOS 6, el archivo se encuentra en /etc/httpd/conf.d/ssl.conf
), simplemente tienes que especificar la directiva fuera de del host virtual predeterminado. La documentación de Apache 2.2 establece que el valor predeterminado de esta directiva es SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
. Considero que aquí es de donde proviene el cifrado RC4: en ausencia de cualquier especificación, que fue mi caso ya que no había ninguna especificación en el contexto “global”, se aplica el valor predeterminado. Esta comprensión pone fin a lo que ha sido un misterio para mí. Irónicamente, estoy a punto de cambiar a CentOS 7 cuando encuentro esta explicación. HH.
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3
^^^^^^^
Mala idea. La desactivación de todos los cifrados SSLv3 da como resultado la desactivación de los cifrados utilizables con TLS1.0 y TLS1.1 y deja solo unos pocos cifrados recién introducidos con TLS1.2 (si su servidor es compatible con TLS1.2)
Por lo tanto, de alguna manera no sé por qué los sitios web de verificación de SSL me dicen que “el servidor acepta RC4”. Incluso enumeran los siguientes cifrados como aceptados:
Asegúrese de que tanto las pruebas locales como las externas accedan al mismo servidor (dirección IP). He visto muchos sitios donde example.com
está en un host diferente que www.example.com
y por lo tanto las pruebas difieren.
Qualys SSL labs parece muy sensible a los hosts predeterminados, etc. Verifique que TODOS sus HTTPS VirtualHosts en esa dirección IP usen exactamente la misma configuración (aparte de los archivos de certificado), tuve un problema similar en el que algunas de las pruebas de Qualys se probaron contra mi VirtualHost objetivo y algunas de las pruebas parecían seleccionar un VirtualHost predeterminado. Mi host virtual solo tenía habilitado un cifrado, pero Qualys estaba encontrando una lista mucho más grande del host virtual predeterminado.
También encontré una secuencia de comandos más atractiva aquí que brinda información más completa sobre las pruebas de SSL.
Puntuaciones y reseñas
Si estás de acuerdo, tienes la opción de dejar un escrito acerca de qué le añadirías a este escrito.