禁用RC4和SHA-1加密套件是增强网站安全性的重要步骤，因为这些加密算法已被认为是不安全的。本文将详细介绍如何通过 SSL证书配置禁用 RC4/SHA-1，并附上 Nginx、Apache 和 Tomcat 的操作示例。

一、为什么需要禁用 RC4/SHA-1？

RC4 是一种流加密算法，因其简单快速而广泛使用。然而，近年来发现多个针对 RC4 的攻击方法，使得其安全性受到严重质疑。SHA-1 是一种哈希函数，也曾被广泛使用，但同样存在碰撞攻击的风险，不再被视为安全的选择。

二、禁用 RC4/SHA-1 的步骤

1. 获取支持的加密套件列表

• 使用工具如 openssl 获取支持的加密套件列表。
• 例如： openssl ciphers -v 。

2. 编辑配置文件

• 根据使用的 Web 服务器（Nginx、Apache 或 Tomcat），编辑相应的配置文件。
• 移除或注释掉包含 RC4 和 SHA-1 的加密套件。

3. 重启服务器

• 使配置生效，需要重启 Web 服务器。

三、Nginx 操作示例

1. 编辑 Nginx 配置文件

• 通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/conf.d/ 目录下。
• 找到 ssl_ciphers 指令，修改为禁用 RC4 和 SHA-1 的加密套件列表。

1 ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
2 ssl_protocols TLSv1.2 TLSv1.3;

2. 重启 Nginx

• sudo systemctl restart nginx

四、Apache 操作示例

1. 编辑 Apache 配置文件

• 通常位于 /etc/apache2/apache2.conf 或 /etc/httpd/conf/httpd.conf 。
• 找到 SSLCipherSuite 指令，修改为禁用 RC4 和 SHA-1 的加密套件列表。

1 SSLCipherSuite 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'
2 SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

2. 重启 Apache

• sudo systemctl restart apache2 或 sudo systemctl restart httpd

五、Tomcat 操作示例

1. 编辑 Tomcat 配置文件

• 通常位于 conf/server.xml 。
• 找到 <Connector> 标签，添加或修改 ciphers 属性。

1 <Connector
2     port="443"
3     protocol="HTTP/1.1"
4     SSLEnabled="true"
5     ciphers="EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"
6     ...
7 />

2. 重启 Tomcat

• 根据安装方式，可能需要运行 sudo systemctl restart tomcat 或直接运行 Tomcat 的启动脚本。

六、验证配置

• 使用工具如 sslscan 或 Qualys SSL Labs 的 SSL Server Test 验证配置是否生效。
• 确保没有列出 RC4 和 SHA-1 相关的加密套件。

七、注意事项

• 确保所有客户端支持新的加密套件，以避免兼容性问题。
• 定期更新加密套件列表，以应对新的安全威胁。

通过以上步骤，可以有效地在 Nginx、Apache 和 Tomcat 中禁用 RC4/SHA-1 加密算法，提升网络安全水平。随着网络安全形势的不断发展，持续关注和更新安全配置是每个网络管理者的责任。

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!