强化 TLS Web 服务器 Apache 设置

强化 TLS Web 服务器 Apache 设置

操作系统:GNU/Linux Debian 9.2,已完全更新。

在标题之下强化 TLS Web 服务器 Apache 设置我的意思如下:

  • 禁用 TLS 1.0,已通过此设置完成:

    SSLProtocol -all +TLSv1.1 +TLSv1.2
    

    在以下文件中:

    /etc/apache2/conf-available/security.conf
    
  • 禁用 GZIP 压缩,已使用以下命令完成:

    a2dismod deflate
    

    虽然它询问我是否真的要禁用此模块,但我必须输入:

    是的,按我说的做!

    因此很自然地,我产生了一些严重的怀疑,但这似乎没有引起任何问题。

    我原本以为,该设置:

    SSLCompression Off
    

    可以解决问题,但它似乎还有另一个用途,无论如何继续前进......

  • 设置一些有用的标头:

    Header always set X-Content-Type-Options: "nosniff"
    
    Header always set X-Frame-Options: "sameorigin"
    
    Header always set X-XSS-Protection: 1
    
    Header always set Content-Security-Policy: "default-src 'none'; script-src 'none'; style-src 'self'; img-src 'self'"
    
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    
  • 切换到256位加密:

    SSLCipherSuite ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:DH+AES256:ECDH+AES256:DH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!DSS:!eNULL:!ADH:!EXP:!LOW:!PSK:!SRP:!RC4
    

    这是我的主要问题,因为我不知道如何正确地进行切换,所以我只是256到处添加。令人惊讶的是,它起作用了:) 但这条线正确吗?

我希望我没有把事情搞得太糟。


已在 SSLLabs 和许多其他网站上测试过,但如果您需要快速获取信息,您可能需要使用:

https://cryptoreport.websecurity.symantec.com/checker/

我正在保护的网站是:

https://www.zalohovaniburian.cz/

(目前它还不包含除“建设中”图像以外的任何内容。)


编辑1:

  • 我生成了一个更大的 DHParameters 文件,其中包含:

    openssl dhparam -out dhparams.pem 4096
    

    并确保它只能由 进行读/写root

  • 最后,我将其包含在文件中:

    /etc/apache2/mods-available/ssl.conf
    

    使用以下行:

    SSLOpenSSLConfCmd DHParameters "/etc/ssl/dhparams.pem"
    

编辑2:

我买了一个普通的SSL证书,今天很晚才换了免费的Let's Encrypt,之前一直有个SpaceSSL。


编辑3:

除上述内容外,我还找不到:

  • 我的证书使用哪个 DNS CAA?

  • 如何启用 OCSP Must-Staple?

答案1

  1. 您的域名没有 CAA 记录。如果有,dig CAA zalohovaniburian.cz您将不会收到回复。与 进行比较dig CAA google.com。如果您想使用它,您需要在您的区域中配置它,www.zalohovaniburian.cz. CAA 128 issue "spacessl.com"但请与您使用的 CA (SpaceSSL) 仔细检查

  2. 至于 OCSP,你可以在 Håkan Lindqvist 提供的指南中找到一些信息https://wiki.mozilla.org/Security/Server_Side_TLS#OCSP_Stapling;本文详细介绍了如何将 OCSP Stapling 添加到 Apache:https://www.digitalocean.com/community/tutorials/how-to-configure-ocsp-stapling-on-apache-and-nginx

PS:看看https://www.ssllabs.com/ssltest/对于在线 SSL 检查,它有一个很好的界面,其中包含有关如何解决检测到的各种问题的链接。您的网站获得了 A+,这非常好!

相关内容