1.6.3. Configurando as cifras suportadas em um Servidor HTTP Apache
Por padrão, o Servidor HTTP Apache no RHEL 8 utiliza a política de criptografia de todo o sistema que define valores seguros padrão, que também são compatíveis com navegadores recentes. Para a lista de cifras que a criptografia em todo o sistema permite, veja o arquivo /etc/crypto-policies/back-ends/openssl.config
.
Esta seção descreve como configurar manualmente quais cifras seu Servidor HTTP Apache suporta. Siga o procedimento se seu ambiente exigir cifras específicas.
Pré-requisitos
- A criptografia TLS está habilitada no servidor, conforme descrito em Seção 1.6.1, “Adicionando criptografia TLS a um Servidor HTTP Apache”.
Procedimento
Edite o arquivo
/etc/httpd/conf/httpd.conf
, e adicione o parâmetroSSLCipherSuite
à diretiva<VirtualHost>
para a qual você deseja definir as cifras TLS:SSLCipherSuite "EECDH AESGCM:EDH AESGCM:AES256 EECDH:AES256 EDH:!SHA1:!SHA256"
Este exemplo permite apenas as cifras
EECDH AESGCM
,EDH AESGCM
,AES256 EECDH
eAES256 EDH
e desativa todas as cifras que utilizam o código de autenticação de mensagens (MAC)SHA1
eSHA256
.Reinicie o serviço
httpd
:# systemctl restart httpd
Etapas de verificação
Para exibir a lista de cifras que o Servidor HTTP Apache suporta:
Instale o pacote
nmap
:nmap # yum instalar nmap
Use o utilitário
nmap
para exibir as cifras suportadas:# nmap --script ssl-enum-ciphers -p 443 example.com ... PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A ...
Recursos adicionais
-
Para mais detalhes sobre a política de criptografia do sistema, consulte a página de manual
update-crypto-policies(8)
e Utilizando políticas criptográficas de todo o sistema. -
Para mais detalhes sobre o parâmetro
SSLCipherSuite
, consulte a documentaçãomod_ssl
no manual do Apache. Para obter detalhes sobre a instalação do manual, consulte Seção 1.8, “Instalando o manual do Servidor HTTP Apache”.