Настройки SSLCipherSuite в Apache для поддержки TLS 1.0, 1.1 и 1.2
У меня есть веб-сервер Apache 2.4.7, на котором запущено несколько доменных имен с использованием одного IP-адреса. В результате уязвимости Пуделя я добавил следующую строку SSLCipherSuite
.
Некоторое время это работало нормально, но пользователи сообщают о проблемах с доступом к странице в Firefox. Просить пользователей переключать браузеры, к сожалению, не вариант, поэтому мне нужно изменить настройки для поддержки TLS 1.0, 1.1 и 1.2.
Текущие настройки:
<VirtualHost ZYX.XYZ.org:443>
DocumentRoot /var/www/ZYX.XYZ/www
ServerName ZYX.XYZ.org
<Directory "/var/www/ZYX.XYZ/">
allow from all
Options -Indexes
</Directory>
SSLEngine on
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
SSLCertificateFile /etc/apache2/ssl/XYZ.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/XYZ.org.key
SSLCACertificateFile /etc/apache2/ssl/gd_bundle-g2-g1.crt
</VirtualHost>
Если мы посмотрим на Тест Qualys, мы видим, что сервер поддерживает только TLS 1.2.
Каковы были бы соответствующие настройки для включения TLS 1.0, TLS 1.1 и TLS 1.2, чтобы сайт мог поддерживать старые браузеры, а также поддерживать достойный уровень безопасности?