Отключите набор шифров или измените приоритет в apache на основе IP-адреса

Question

Отключите набор шифров или измените приоритет в apache на основе IP-адреса

Я столкнулся с проблемой, когда мне нужно отключить наборы шифров DH или изменить приоритет набора шифров только для определенных IP-адресов в Apache 2.4.7.

Причина в том, что системе, работающей на JDK7, необходимо подключиться к моей веб-службе, для которой требуется, чтобы ключи DH были 1024-битными. Уменьшение размера ключа DH не вариант, так как я не хочу открывать нам уязвимость в logjam.

В идеале я хотел бы расставить приоритеты для AES256-SHA или отключить наборы шифров EC только в Apache 2.4.7 при обслуживании запросов на определенные IP-адреса.

Спасибо.

1

ssl apache-2.4 mod-ssl

Источник

jscho 04 июн '15 в 13:04

1 ответ

Другие вопросы по тегам ssl apache-2.4 mod-ssl

Hyppy 04 июн '15 в 13:46 2015-06-04 13:46 · Answer 1 · 2015-06-04 13:46

Директива SSLCipherSuite может использоваться в контексте Server, VirtualHost, Directory и даже.htaccess. Это означает, что вы можете настроить отдельное прослушивание виртуального хоста на другом порту, отдельный каталог ("example.com/JDK7Access") или даже файл.htaccess, чтобы разрешить другой набор шифров на желаемом уровне.

Источник: документация по модулю Apache 2.4 mod_ssl

Если вы хотите просто установить приоритетность использования наборов шифров, вы можете выполнить директиву SSLHonorCipherOrder в контексте Server или VirtualHost. Это заставляет Apache предпочитать самый левый шифр, который он может согласовать из вашего списка SSLCipherSuite.