Tengo un servidor web Apache 2.4.7 que ejecuta varios nombres de dominio con una sola dirección IP. Como resultado de la vulnerabilidad de Poodle, agregué la siguiente SSLCipherSuite
línea. Funcionó bien por un tiempo, pero los usuarios informan problemas para acceder a la página en Firefox. Por desgracia, pedirles a los usuarios que cambien de navegador no es una opción, por lo que necesito cambiar la configuración para que sea compatible con TLS 1.0, 1.1 y 1.2.
Las configuraciones actuales son:
<VirtualHost ZYX.XYZ.org:443>
DocumentRoot /var/www/ZYX.XYZ/www
ServerName ZYX.XYZ.org
<Directory "/var/www/ZYX.XYZ/">
allow from all
Options -Indexes
</Directory>
SSLEngine on
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
SSLCertificateFile /etc/apache2/ssl/XYZ.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/XYZ.org.key
SSLCACertificateFile /etc/apache2/ssl/gd_bundle-g2-g1.crt
</VirtualHost>
Si miramos la prueba de Qualys , vemos que el servidor solo es compatible con TLS 1.2.
¿Cuál sería la configuración adecuada para habilitar TLS 1.0, TLS 1.1 y TLS 1.2, de modo que el sitio pueda admitir navegadores más antiguos y también mantener un nivel de seguridad decente?
fuente