在Apache 2.4中禁用TLS 1.0
我是一个非技术人员,但能够阅读网站所有者手册。我正在Debian9.0服务器上运行Apache2.4.10。我想禁用TLS1.0。我读过这本书 在我的虚拟主机文件中,我使用了以下指令:在Apache 2.4中禁用TLS 1.0,apache,tls1.0,Apache,Tls1.0,我是一个非技术人员,但能够阅读网站所有者手册。我正在Debian9.0服务器上运行Apache2.4.10。我想禁用TLS1.0。我读过这本书 在我的虚拟主机文件中,我使用了以下指令: SSLProtocol all -TLSv1 -SSLv3 即使在重新加载并重新启动Apache之后,这也不起作用。然后,我也向ssl.conf文件添加了相同的指令,这只是为了确保,即使在重新加载和重新启动之后,仍然没有运气。我还尝试了以下指令的相同操作: SSLProtocol +TLSv1.1 +TLSv1
SSLProtocol all -TLSv1 -SSLv3
SSLProtocol +TLSv1.1 +TLSv1.2
grep -R 'SSLProtocol' .
我还检查了网站的.htaccess文件,以确保没有覆盖任何内容(尽管我不知道您可以在.htaccess文件中更改此设置)。有什么想法吗?谢谢你的帮助 这里有这个问题的答案:
基本上,您必须在ssl.conf文件中禁用此协议。在vhosts.conf或等效文件中执行此操作将不起作用(尽管在那里设置此配置是正确的),因为OpenSSL中存在一个错误,正如其中引用的一个答案所述。截至今天,2018年11月15日,在Apache 2.4中已知无法禁用tls1.0。所以,当你的修改无缘无故不起作用时,不要撞到你的头。希望我们能尽快把它修好 也要订票 这似乎在2.4.18+2.4.23之间发生了变化,因为设定了SSLProtocol用途
在这种“错误”的大量情况下,如果在服务器上安装了letsencrypt,则其配置文件设置的协议将取代ssl.conf或vhosts的设置: /etc/letsencrypt/options-ssl-apache.conf