找到存有SSL格式的檔案,/etc/httpd/conf.d/ssl.conf
如果有用過let's encrypt檔案會放在/etc/pki/tls/options-ssl-apache.conf
註解#SSLProtocol all -SSLv2 -SSLv3
新增一行
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
註解# SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
加上
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
檢查是否有這行
SSLHonorCipherOrder on
重新啟動apache
使用指令檢查
openssl s_client -connect xxx.sso.edu.tw:443 -tls1_2
openssl s_client -connect xxx.sso.edu.tw:443 -tls1_1
openssl s_client -connect xxx.sso.edu.tw:443 -tls1
正確設定的話,只有-tls1_2會有回應
END
