Apache - Configureren Strong CipherSuites

Met onderstaande regel kunt u SSL zo configureren dat alléén sterke encryptie wordt geaccepteerd:

SSLCipherSuite HIGH:!aNULL:!MD5

Met de onderstaande regel in de configuratie kunt u een voorkeur instellen voor specifieke op snelheid geoptimaliseerde ciphers (die door mod_ssl worden geselecteerd op voorwaarde dat ze worden ondersteund door de client):

SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5
SSLHonorCipherOrder on

Een SSLCipherSuite met alleen sterke encryptie is voor de gehele server geen oplossing (bijvoorbeeld omdat gebruikers met oudere browsers dan de website niet kunnen bezoeken). Als oplossing kan mod_ssl worden geconfigureerd binnen Location blocks om zo per directory aan te geven welke ciphers er gelden, en kan automatisch een heronderhandeling van SSL parameters forceren om aan de nieuwe configuratie te voldoen. Dit kan als volgt worden gedaan:

# be liberal in general
SSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL

<Location /strong/area>
# but https://hostname/strong/area/ and below
# requires strong ciphers
SSLCipherSuite HIGH:!aNULL:!MD5
</Location>

point up