SSL na piątkę

A w zasadzie na szóstkę, ale ponieważ chodziłem do podstawówki w czasach, kiedy skala ocen byla 2-5 a nie 1-6, zostawiam tytuł jak jest.

Dziś króciutko o tym jak uzyskać najwyższe noty w teście SSL.

Co to jest SSL?

Szczegółów nie będę objaśniał, bo mi się nie chce. Chodzi w każdym razie o tę zieloną kłódeczkę w pasku adresu, która świadczy o tym, że połączenie do blogu jest bezpieczne i nikt nie podsłuchuje.

Portal https://www.ssllabs.com/ oferuje darmowy test jakości owego SSL, który trwa około dwóch minut i na końcu wyświetla nie tylko wszystkie szczegóły naszego SSL, ale również ewentualne problemy, a na koniec wystawia ocenę w skali A-E, gdzie A oznacza "full wypas" a E - "lepiej tam nie zaglądać".

Do niedawna blog xpil.eu dostawał ocenę A-, czyli prawie-prawie, ale nie do końca. Do pełnego A brakowało mi rozwiązania problemu "The server does not support Forward Secrecy" raportowanego przez SSLLabs. Niedawno powalczyłem trochę z konfiguracją zabezpieczeń na serwerze i udało mi się "awansować" do pełnego A, czym się dziś chwalę.

Na czym polega trick?

Na zmodyfikowaniu dwóch linijek w pliku konfiguracyjnym ssl.conf w katalogu konfiguracji serwera Apache:

W sekcji "SSL Cipher Suite" należy wyedytować linijkę zaczynająca się od "SSL Cipher Suite" (bez cudzysłowów). Linijka ta powinna wyglądać następująco:

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

Następnie należy zmodyfikować sekcję "SSL server cipher order preference" i włączyć opcję "SSLHonorCipherOrder":

SSLHonorCipherOrder on

I to wszystko. Pozostaje tylko zrestartować serwer Apache:

service apache2 restart

I cieszyć się zieloną kłódeczką 😉

10 komentarzy

    1. Wiem. Tylko że nawet A to już za dużo jak na podrzędny blog z treściami głównie usypiającymi. W zasadzie bez SSL też wszystko mi działało elegancko. To taka trochę sztuka dla sztuki, dopóki nie zabieram się za przetwarzanie danych typu płatności czy dane osobowe.

          1. Działa, tylko musisz zamienić http : / / blog.bobiko.pl/wp-content/uploads/2016/09/bobiko_500_white.png na https : / / blog.bobiko.pl/wp-content/uploads/2016/09/bobiko_500_white.png to Ci wykrzyknik zniknie.

            1. Sęk w tym ze wszystkie załączniki, które uploadowałem wczesniej, wczytuja sie jako http , przez blog nie działa 😉

Leave a Comment

Komentarze mile widziane.

Jeżeli chcesz do komentarza wstawić kod, użyj składni:
[code]
tutaj wstaw swój kod
[/code]