最近將網站重新升級至 FreeBSD 12.1 的版本,其中 Web Server 的部份仍延用 Apache 使用
另外因為目前 HTTPS 已經是基本標準了,但啟用 HTTPS 不代表一定是安全,還是有一些地方要注意的
因分享一下我是如何調整 Apache 來符合 SSLLabs A+ 標準
1. 首先要調整 Cipher,這是我的設定
SSLCipherSUite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !CAMELLIA !SEED !3DES !RC4 !aNULL !eNULL !LOW !MD5 !EXP !PSK !SRP !DSS"
2. 調整 SSL Protocol,只支援 TLS 1.2 以上
SSLProtocol +TLSv1.2 +TLSv1.3
3. 讓網站支援 HSTS,我是加在 httpd-ssl.conf 每個 VirtualHost 底下第一行
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
4. 讓網站 DNS 支援 Certification Authority Authorization (CAA)
可以參考這篇文章說明,設定 DNS CAA 紀錄,保護自己的 SSL/TLS 憑證
另外我用的 Apache 版本是 2.4.43,OpenSSL 的版本是 1.1.1.d
留言列表