SSL na piątkę

Jak poprawnie skonfigurować SSL na serwerze Apache.

A w zasadzie na szóstkę, ale ponieważ chodziłem do podstawówki w czasach, kiedy skala ocen byla 2-5 a nie 1-6, zostawiam tytuł jak jest.

Dziś króciutko o tym jak uzyskać najwyższe noty w teście SSL.

Co to jest SSL?

Szczegółów nie będę objaśniał, bo mi się nie chce. Chodzi w każdym razie o tę zieloną kłódeczkę w pasku adresu, która świadczy o tym, że połączenie do blogu jest bezpieczne i nikt nie podsłuchuje.

Portal https://www.ssllabs.com/ oferuje darmowy test jakości owego SSL, który trwa około dwóch minut i na końcu wyświetla nie tylko wszystkie szczegóły naszego SSL, ale również ewentualne problemy, a na koniec wystawia ocenę w skali A-E, gdzie A oznacza „full wypas” a E – „lepiej tam nie zaglądać”.

Do niedawna blog xpil.eu dostawał ocenę A-, czyli prawie-prawie, ale nie do końca. Do pełnego A brakowało mi rozwiązania problemu „The server does not support Forward Secrecy” raportowanego przez SSLLabs. Niedawno powalczyłem trochę z konfiguracją zabezpieczeń na serwerze i udało mi się „awansować” do pełnego A, czym się dziś chwalę.

Na czym polega trick?

Na zmodyfikowaniu dwóch linijek w pliku konfiguracyjnym ssl.conf w katalogu konfiguracji serwera Apache:

W sekcji „SSL Cipher Suite” należy wyedytować linijkę zaczynająca się od „SSL Cipher Suite” (bez cudzysłowów). Linijka ta powinna wyglądać następująco:

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

Następnie należy zmodyfikować sekcję „SSL server cipher order preference” i włączyć opcję „SSLHonorCipherOrder”:

SSLHonorCipherOrder on

I to wszystko. Pozostaje tylko zrestartować serwer Apache:

service apache2 restart

I cieszyć się zieloną kłódeczką 😉

Autor: xpil

Po czterdziestce. Żonaty. Dzieciaty. Komputerowiec. Krwiodawca. Emigrant. Rusofil. Lemofil. Sarkastyczny. Uparty. Mól książkowy. Ateista. Apolityczny. Nie oglądam TV. Uwielbiam matematykę. Walę prosto z mostu. Gram na paru instrumentach. Lubię planszówki. Słucham bluesa, poezji śpiewanej i kapel a’capella. || Kliknij tutaj po więcej szczegółów ||

Dodaj komentarz

10 komentarzy do "SSL na piątkę"

Powiadom o
avatar
Sortuj wg:   najnowszy | najstarszy | oceniany
Przemek
Gość

Jest jeszcze A+ w tym teście 🙂

bobiko
Gość

No właśnie, muszę zajać się tym SSL na blogu ale najpierw to trzeba odseparować sie od cloudflare 😡

wpDiscuz