從有為青年變成有為中年男子的生活札記

最近將網站重新升級至 FreeBSD 12.1 的版本，其中 Web Server 的部份仍延用 Apache 使用

另外因為目前 HTTPS 已經是基本標準了，但啟用 HTTPS 不代表一定是安全，還是有一些地方要注意的

因分享一下我是如何調整 Apache 來符合 SSLLabs A+ 標準

1. 首先要調整 Cipher，這是我的設定

SSLCipherSUite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !CAMELLIA !SEED !3DES !RC4 !aNULL !eNULL !LOW !MD5 !EXP !PSK !SRP !DSS"

2. 調整 SSL Protocol，只支援 TLS 1.2 以上

SSLProtocol +TLSv1.2 +TLSv1.3

3. 讓網站支援 HSTS，我是加在 httpd-ssl.conf 每個 VirtualHost 底下第一行

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

4. 讓網站 DNS 支援 Certification Authority Authorization (CAA)

可以參考這篇文章說明，設定 DNS CAA 紀錄，保護自己的 SSL/TLS 憑證

另外我用的 Apache 版本是 2.4.43，OpenSSL 的版本是 1.1.1.d