GeoTrust 普通版通配符 DV SSL无法通过苹果ATS验证
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
您好!根据您的描述,您希望在Apache 2.2.25上配置SSL以支持Perfect Forward Secrecy (PFS)并确保与Apple ATS(App Transport Security)兼容。PFS是一种安全特性,它保证即使私钥泄露,以前的会话密钥也不能被解密。为了实现这一目标,您需要确保您的SSL Cipher Suite配置包含了支持PFS的密码套件,比如那些基于ECDHE和DHE的套件。
您已经启用了ECDHE,这是很好的,但可能还需要进一步微调您的SSLCipherSuite以确保兼容性和安全性。以下是一个推荐的配置示例,该配置旨在同时支持TLS 1.2及以上的协议,并强调PFS:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 # 确保只启用TLSv1.2及以上
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"
这个配置优先使用了支持前向安全性的密码套件,并且去除了已知不安全或较弱的密码套件,如RC4、MD5等。请将上述配置替换到您的Apache配置文件中(通常位于/etc/httpd/conf.d/ssl.conf或/etc/apache2/sites-available/default-ssl.conf),然后重启Apache服务以应用更改。
请注意,调整SSL配置时,务必进行充分的测试,以确保网站在不同浏览器和设备上的正常访问。如果您的用户群体广泛,建议进行兼容性测试,以确认没有因加密设置导致的访问问题。
