私はapache2とcertbot-autoを使ってHTTP2を設定していますが、実際にはHTTP2 + Apache2 +とletsencryptの証明書があり、HTTP2は完全にこのサーバで動作しています。私は、両方のサーバー上でこれを持っている:certbotのHTTP2、apache2
openssl dhparam -out /etc/ssl/private/dhparams_4096.pem 4096
Apacheを再起動、同じ問題は、サーバ1が動作して、サーバ2なし:
SSLHonorCipherOrder on
SSLProtocol all -SSLv3
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
SSLOpenSSLConfCmd DHParameters "/etc/ssl/private/dhparams_4096.pem"
私は両方を持つキーをdhparams REGENするしようと試みました。
Server negotiated HTTP/2 with blacklisted suite
私がテストした場合::
Server Temp Key: ECDH, P-256, 256 bits
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
:私が持って働いて、サーバー上で
openssl s_client -host 127.0.0.1 -port 443
私は、クロムとFFを持っている... ssllabs.comで
稼働していないサーバーで:
Server Temp Key: DH, 4096 bits
Cipher : DHE-RSA-AES128-GCM-SHA256
私は動作するにはECDHキーでなければならないことは知っていますが、なぜすべてのサーバがまったく同じ設定をしているのかわかりません!
私はいつもcertbot-auto --apache -d mydomain.comを使って証明書を生成しています。私は最初のサーバーではなく、2番目のサーバーでHTTP2を使用しています(不十分なセキュリティーエラーとhttp1.1へのフォールバック)
私を助けることができますか?私はapache2とSSL/HTTP2の設定をしたい、私は非常に古いブラウザの互換性は必要ありません。または、それを行うための非常に良い作業チュートリアルが分かっている場合。
Apache 2.4.25と両方のサーバーでssl 1.0.2kを開きます。
私はいくつかのテストを行いました: ECDHE-ECDSA-AES128-GCM-SHA256は設定されていますが、サーバーはそれを受け取りません。この暗号だけを置くと、ハンドシェークが失敗します。私はECDHE-ECDSA-AES128-GCM-SHA256暗号、apacheをインストールする方法を知らないのですか? openssl? – neoteknic
件名:openssl ciphers -v 'ALL:eNULL' ECDHE-RSA-AES128-GCM-SHA256がリストにあります。なぜapacheはそれを取ることはありませんか? – neoteknic
サーバー証明書を確認する必要があります。コマンド 'openssl s_client -host 127.0.0.1 -port 443'が正しくない可能性があります。 '' HIGH:!kRSA:!aNULL:!MD5:!RC4 ''の暗号スイート文字列がうまくいくはずです。 SSL Labs監査に合格し、ChaCha20/Poly1305がTLS 1.3(使用可能になった場合)に優先されます。 OpenSSLの問題追跡ツールの[課題963:TLS 1.3のサポート](https://github.com/openssl/openssl/issues/963)も参照してください。 – jww