A w zasadzie na szóstkę, ale ponieważ chodziłem do podstawówki w czasach, kiedy skala ocen byla 2-5 a nie 1-6, zostawiam tytuł jak jest.
Dziś króciutko o tym jak uzyskać najwyższe noty w teście SSL.
Co to jest SSL?
Szczegółów nie będę objaśniał, bo mi się nie chce. Chodzi w każdym razie o tę zieloną kłódeczkę w pasku adresu, która świadczy o tym, że połączenie do blogu jest bezpieczne i nikt nie podsłuchuje.
Portal https://www.ssllabs.com/ oferuje darmowy test jakości owego SSL, który trwa około dwóch minut i na końcu wyświetla nie tylko wszystkie szczegóły naszego SSL, ale również ewentualne problemy, a na koniec wystawia ocenę w skali A-E, gdzie A oznacza "full wypas" a E - "lepiej tam nie zaglądać".
Do niedawna blog xpil.eu dostawał ocenę A-, czyli prawie-prawie, ale nie do końca. Do pełnego A brakowało mi rozwiązania problemu "The server does not support Forward Secrecy" raportowanego przez SSLLabs. Niedawno powalczyłem trochę z konfiguracją zabezpieczeń na serwerze i udało mi się "awansować" do pełnego A, czym się dziś chwalę.
Na czym polega trick?
Na zmodyfikowaniu dwóch linijek w pliku konfiguracyjnym ssl.conf w katalogu konfiguracji serwera Apache:
W sekcji "SSL Cipher Suite" należy wyedytować linijkę zaczynająca się od "SSL Cipher Suite" (bez cudzysłowów). Linijka ta powinna wyglądać następująco:
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
Następnie należy zmodyfikować sekcję "SSL server cipher order preference" i włączyć opcję "SSLHonorCipherOrder":
SSLHonorCipherOrder on
I to wszystko. Pozostaje tylko zrestartować serwer Apache:
service apache2 restart
I cieszyć się zieloną kłódeczką 😉
Jest jeszcze A+ w tym teście 🙂
Wiem. Tylko że nawet A to już za dużo jak na podrzędny blog z treściami głównie usypiającymi. W zasadzie bez SSL też wszystko mi działało elegancko. To taka trochę sztuka dla sztuki, dopóki nie zabieram się za przetwarzanie danych typu płatności czy dane osobowe.
No właśnie, muszę zajać się tym SSL na blogu ale najpierw to trzeba odseparować sie od cloudflare 😡
A czemu odseparować? Nie jest szybciej dzięki temu?
Ano każą płacić za włączenie usługi 😉
A nie.. wychodzi na to ze działa https:// na blogu
Działa, tylko musisz zamienić http : / / blog.bobiko.pl/wp-content/uploads/2016/09/bobiko_500_white.png na https : / / blog.bobiko.pl/wp-content/uploads/2016/09/bobiko_500_white.png to Ci wykrzyknik zniknie.
Sęk w tym ze wszystkie załączniki, które uploadowałem wczesniej, wczytuja sie jako http , przez blog nie działa 😉
Jest wtyczka (link na końcu komentarza), która „w locie” przerabia wszystkie http na https. Używam, polecam. Jeżeli nie ta, są inne, działające na podobnej zasadzie. Jestem przekonany, że znajdziesz coś dla siebie. https://wordpress.org/plugins/ssl-insecure-content-fixer/
Dzięki. pomogła też reaktywacja motywu, by odświeżyło / przemapowało pliki z http na https 😡