Ho un server web Apache 2.4.7 che esegue più nomi di dominio usando un singolo indirizzo IP. A causa della vulnerabilità di Poodle, ho aggiunto la seguente SSLCipherSuite
riga. Ha funzionato bene per un po ', ma gli utenti stanno segnalando problemi con l'accesso alla pagina in Firefox. Sfortunatamente chiedere agli utenti di cambiare browser non è un'opzione, quindi devo modificare le impostazioni per supportare TLS 1.0, 1.1 e 1.2.
Le impostazioni correnti sono:
<VirtualHost ZYX.XYZ.org:443>
DocumentRoot /var/www/ZYX.XYZ/www
ServerName ZYX.XYZ.org
<Directory "/var/www/ZYX.XYZ/">
allow from all
Options -Indexes
</Directory>
SSLEngine on
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
SSLCertificateFile /etc/apache2/ssl/XYZ.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/XYZ.org.key
SSLCACertificateFile /etc/apache2/ssl/gd_bundle-g2-g1.crt
</VirtualHost>
Se guardiamo al test di Qualys , vediamo che il server supporta solo TLS 1.2.
Quali sarebbero le impostazioni appropriate per abilitare TLS 1.0, TLS 1.1 e TLS 1.2, in modo che il sito possa supportare i browser più vecchi e anche mantenere un livello decente di sicurezza?