ОС: GNU / Linux Debian 9.2, полностью обновлено.
Под заголовком Повышение безопасности настроек Apache веб-сервера TLS Я имею в виду следующее:
отключение TLS 1.0, уже сделанное с помощью этой настройки:
SSLProtocol -all +TLSv1.1 +TLSv1.2
в следующем файле:
/etc/apache2/conf-available/security.conf
отключение сжатия GZIP, уже сделанное с помощью следующей команды:
a2dismod deflate
хотя он спросил меня, действительно ли я хочу отключить этот модуль, мне пришлось ввести:
Да делай, как я говорю!
поэтому, естественно, у меня были серьезные сомнения, но, похоже, это не вызывает никаких проблем.
Я изначально думал, что этот параметр:
SSLCompression Off
сработает, но, похоже, в любом случае в будущем он служит другой цели ...
Установка нескольких полезных заголовков:
Header always set X-Content-Type-Options: "nosniff"
Header always set X-Frame-Options: "sameorigin"
Header always set X-XSS-Protection: 1
Header always set Content-Security-Policy: "default-src 'none'; script-src 'none'; style-src 'self'; img-src 'self'"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Переход на 256-битное шифрование:
SSLCipherSuite ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:DH+AES256:ECDH+AES256:DH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!DSS:!eNULL:!ADH:!EXP:!LOW:!PSK:!SRP:!RC4
Это мой главный вопрос, так как я не знал, как правильно сделать переключатель, поэтому просто добавил 256
где угодно. Удивительно, но работает :) А строчка правильная?
Надеюсь, я не слишком много напортачил.
Протестировано на SSLLabs и многих других сайтах, но если вам нужна быстрая информация, вы можете использовать:
https://cryptoreport.websecurity.symantec.com/checker/
Веб-сайт, который я защищаю:
https://www.zalohovaniburian.cz/
(Он пока не содержит ничего, кроме изображения «В разработке».)
РЕДАКТИРОВАТЬ1:
Я создал более крупный файл DHParameters с:
openssl dhparam -out dhparams.pem 4096
и застрахован он R / W-может только root
.
Наконец, я включил его в файл:
/etc/apache2/mods-available/ssl.conf
со строкой:
SSLOpenSSLConfCmd DHParameters "/etc/ssl/dhparams.pem"
РЕДАКТИРОВАТЬ2:
я купил нормальный Сертификат SSL, так поздно сегодня я заменил бесплатный Let's Encrypt, который раньше был для SpaceSSL.
РЕДАКТИРОВАТЬ3:
В дополнение к вышесказанному я не могу узнать:
Какой DNS CAA использует мой сертификат?
Как включить OCSP Must-Staple?
В вашем домене нет записи CAA. Если вы это сделаете dig CAA zalohovaniburian.cz
вы не получите ответа. Сравнить с dig CAA google.com
. Если вы хотите использовать его, вам нужно будет предоставить его в своей зоне, например www.zalohovaniburian.cz. CAA 128 issue "spacessl.com"
но дважды проверьте с помощью CA, который вы используете (SpaceSSL)
Что касается OCSP, у вас есть некоторая информация в руководстве, предоставленном Хаканом Линдквистом на https://wiki.mozilla.org/Security/Server_Side_TLS#OCSP_Stapling ; в этой статье подробно рассказывается, как добавить OCSP Stapling в Apache: https://www.digitalocean.com/community/tutorials/how-to-configure-ocsp-stapling-on-apache-and-nginx
PS: посмотрите https://www.ssllabs.com/ssltest/ для онлайн-проверки SSL у него есть хороший интерфейс со ссылками на способы устранения различных обнаруженных проблем. Ваш сайт получил пятерку +, это очень хорошо!