SSL na piątkę

xpil - 2017/02/06 - Ogólne /

A w zasadzie na szóstkę, ale ponieważ chodziłem do podstawówki w czasach, kiedy skala ocen byla 2-5 a nie 1-6, zostawiam tytuł jak jest.

Dziś króciutko o tym jak uzyskać najwyższe noty w teście SSL.

Co to jest SSL?

Szczegółów nie będę objaśniał, bo mi się nie chce. Chodzi w każdym razie o tę zieloną kłódeczkę w pasku adresu, która świadczy o tym, że połączenie do blogu jest bezpieczne i nikt nie podsłuchuje.

Portal https://www.ssllabs.com/ oferuje darmowy test jakości owego SSL, który trwa około dwóch minut i na końcu wyświetla nie tylko wszystkie szczegóły naszego SSL, ale również ewentualne problemy, a na koniec wystawia ocenę w skali A-E, gdzie A oznacza „full wypas” a E – „lepiej tam nie zaglądać”.

Do niedawna blog xpil.eu dostawał ocenę A-, czyli prawie-prawie, ale nie do końca. Do pełnego A brakowało mi rozwiązania problemu „The server does not support Forward Secrecy” raportowanego przez SSLLabs. Niedawno powalczyłem trochę z konfiguracją zabezpieczeń na serwerze i udało mi się „awansować” do pełnego A, czym się dziś chwalę.

Na czym polega trick?

Na zmodyfikowaniu dwóch linijek w pliku konfiguracyjnym ssl.conf w katalogu konfiguracji serwera Apache:

W sekcji „SSL Cipher Suite” należy wyedytować linijkę zaczynająca się od „SSL Cipher Suite” (bez cudzysłowów). Linijka ta powinna wyglądać następująco:

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

Następnie należy zmodyfikować sekcję „SSL server cipher order preference” i włączyć opcję „SSLHonorCipherOrder”:

SSLHonorCipherOrder on

I to wszystko. Pozostaje tylko zrestartować serwer Apache:

service apache2 restart

I cieszyć się zieloną kłódeczką 😉

10
Dodaj komentarz

avatar
2 Comment threads
8 Thread replies
2 Followers
 
Most reacted comment
Hottest comment thread
3 Comment authors
xpilbobikoxpilPrzemek Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Przemek
Gość

Jest jeszcze A+ w tym teście 🙂

bobiko
Gość

No właśnie, muszę zajać się tym SSL na blogu ale najpierw to trzeba odseparować sie od cloudflare 😡

%d bloggers like this: