SSL na piątkę

https://xpil.eu/45o 📋

A w zasadzie na szóstkę, ale ponieważ chodziłem do podstawówki w czasach, kiedy skala ocen byla 2-5 a nie 1-6, zostawiam tytuł jak jest.

Dziś króciutko o tym jak uzyskać najwyższe noty w teście SSL.

Co to jest SSL?

Szczegółów nie będę objaśniał, bo mi się nie chce. Chodzi w każdym razie o tę zieloną kłódeczkę w pasku adresu, która świadczy o tym, że połączenie do blogu jest bezpieczne i nikt nie podsłuchuje.

Portal https://www.ssllabs.com/ oferuje darmowy test jakości owego SSL, który trwa około dwóch minut i na końcu wyświetla nie tylko wszystkie szczegóły naszego SSL, ale również ewentualne problemy, a na koniec wystawia ocenę w skali A-E, gdzie A oznacza "full wypas" a E - "lepiej tam nie zaglądać".

Do niedawna blog xpil.eu dostawał ocenę A-, czyli prawie-prawie, ale nie do końca. Do pełnego A brakowało mi rozwiązania problemu "The server does not support Forward Secrecy" raportowanego przez SSLLabs. Niedawno powalczyłem trochę z konfiguracją zabezpieczeń na serwerze i udało mi się "awansować" do pełnego A, czym się dziś chwalę.

Na czym polega trick?

Na zmodyfikowaniu dwóch linijek w pliku konfiguracyjnym ssl.conf w katalogu konfiguracji serwera Apache:

W sekcji "SSL Cipher Suite" należy wyedytować linijkę zaczynająca się od "SSL Cipher Suite" (bez cudzysłowów). Linijka ta powinna wyglądać następująco:

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

Następnie należy zmodyfikować sekcję "SSL server cipher order preference" i włączyć opcję "SSLHonorCipherOrder":

SSLHonorCipherOrder on

I to wszystko. Pozostaje tylko zrestartować serwer Apache:

service apache2 restart

I cieszyć się zieloną kłódeczką 😉

https://xpil.eu/45o 📋