在Apache 2.4中禁用TLS 1.0

Question

我是一個非技術性但能夠閱讀的手冊網站所有者。我在Debian 9.0服務器上運行Apache 2.4.10。我想禁用TLS 1.0。我已閱讀Apache documentation for the SSLProtocol directive。

在我的虛擬主機文件，我用下面的指令：

SSLProtocol all -TLSv1 -SSLv3 

這並沒有工作，即使重裝，然後重新啓動Apache的後。然後，我將相同的指令添加到ssl.conf文件中，只是爲了確保，即使在重新加載和重新啓動後仍然沒有運氣。我也嘗試了與以下指令相同的東西：

SSLProtocol +TLSv1.1 +TLSv1.2 

仍然沒有運氣。我做了以下的搜索只是爲了看看我曾在我的配置文件中使用的SSLProtocol指令別的地方，但同樣，沒有運氣：

grep -R 'SSLProtocol' . 

我還檢查.htaccess文件的網站，以確保我hadn不會覆蓋任何東西（儘管我不知道您可以在.htaccess文件中更改此設置）。有任何想法嗎？感謝您的幫助！

Answer 1

沒有爲這裏這個問題的答案：

How to disable TLS 1.1 & 1.2 in Apache?

基本上，你必須禁用的的ssl.conf文件此協議。正如在其中引用的一個答案中所報告的那樣，由於OpenSSL中存在一個錯誤，在vhosts.conf或同等文件中執行此操作將不起作用（儘管它正確設置此配置）。