Configurar Ciphers TLS para mejorar la seguridad de nuestro servidor web

En este post vamos a buscar mejorar la seguridad de nuestro servidor web desde el punto de vista de de las conexiones seguras.

Para ello nuestro primer paso es hacer este test: https://www.ssllabs.com/ssltest/

Problema: «This server uses only RC4 suites, which are insecure. From early 2016, modern browsers won’t connect to it.»

This server uses only RC4 suites, which are insecure. From early 2016, modern browsers won't connect to it.

This server uses only RC4 suites, which are insecure. From early 2016, modern browsers won’t connect to it.

Este error lo podemos ver tambien desde un navegador cuando intentamos ingresar al sitio web seguro. Recibiremos una pantalla como la siguiente, con la leyenda:
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Protocolo no compatible
El cliente y el servidor no admiten un conjunto de cifrado o una versión de protocolo SSL en común.

El cliente y el servidor no admiten un conjunto de cifrado o una versión de protocolo SSL en común

El cliente y el servidor no admiten un conjunto de cifrado o una versión de protocolo SSL en común

Para solucionar el problema debemos agregar esta configuración:

 

SSLProtocol -ALL +TLSv1
SSLCipherSuite HIGH:!aNULL:!eNULL:!kECDH:!aDH:!RC4:!3DES:!CAMELLIA:!MD5:!PSK:!SRP:!KRB5:@STRENGTH
SSLHonorCipherOrder on

Luego reiniciamos el servidor

//Centos/RHEL
# service httpd restart
//Ubuntu/Debian
# service apache2 restart