Konfiguracja SSL dla Apache na 5+
Napisał: Patryk Krawaczyński
17/02/2019 w Bezpieczeństwo Możliwość komentowania Konfiguracja SSL dla Apache na 5+ została wyłączona
P
oniższa konfiguracja (podobnie, jak w przypadku nginx) serwera Apache dla komunikacji po https pozwala na uzyskanie oceny A+ w teście przeprowadzanym przez firmę Qualys SSL Labs. Innymi mechanizmami, które zostały zwarte to: HSTS, DNS CAA, OSCP oraz HTTP2. Stosując poniższą konfigurację należy liczyć się, że może ona nie działać (lub niektóre jej funkcjonalności) z starszymi przeglądarkami i aplikacjami typu Java.
Protocols http/1.1 h2
SSLEngine on
SSLCompression off
SSLSessionTickets off
SSLUseStapling on
SSLCertificateFile /etc/apache2/ssl/root.pem
SSLCertificateKeyFile /etc/apache2/ssl/server.key
SSLCertificateChainFile /etc/apache2/ssl/root.pem
SSLProtocol -All +TLSv1.2
SSLHonorCipherOrder on
SSLCipherSuite "HIGH:!aNULL:!MD5:!3DES:!CAMELLIA:!AES128:!AES256-SHA:\
!AES256-SHA256:!AES256-GCM-SHA384:!AES256-CCM8:!AES256-CCM:\
!DHE-DSS-AES256-SHA:!SRP-DSS-AES-256-CBC-SHA"
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparams4096.pem"
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLOpenSSLConfCmd Curves secp521r1:secp384r1
Header always append Strict-Transport-Security "max-age=31536000;"
Plik dhparams4096.pem wygenerujemy poleceniem (może to zająć nawet kilkanaście minut):
openssl dhparam -out /etc/ssl/certs/dhparams4096.pem 4096
Ostatni komentarz :