强化 TLS Web 服务器 Apache 设置

操作系统：GNU/Linux Debian 9.2，已完全更新。

在标题之下强化 TLS Web 服务器 Apache 设置我的意思如下：

• 禁用 TLS 1.0，已通过此设置完成：

  SSLProtocol -all +TLSv1.1 +TLSv1.2
  

  在以下文件中：

  /etc/apache2/conf-available/security.conf
  

• 禁用 GZIP 压缩，已使用以下命令完成：

  a2dismod deflate
  

  虽然它询问我是否真的要禁用此模块，但我必须输入：

  是的，按我说的做！

  因此很自然地，我产生了一些严重的怀疑，但这似乎没有引起任何问题。

  我原本以为，该设置：

  SSLCompression Off
  

  可以解决问题，但它似乎还有另一个用途，无论如何继续前进......

• 设置一些有用的标头：

  Header always set X-Content-Type-Options: "nosniff"
  
  Header always set X-Frame-Options: "sameorigin"
  
  Header always set X-XSS-Protection: 1
  
  Header always set Content-Security-Policy: "default-src 'none'; script-src 'none'; style-src 'self'; img-src 'self'"
  
  Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
  

• 切换到256位加密：

  SSLCipherSuite ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:DH+AES256:ECDH+AES256:DH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!DSS:!eNULL:!ADH:!EXP:!LOW:!PSK:!SRP:!RC4
  

  这是我的主要问题，因为我不知道如何正确地进行切换，所以我只是256到处添加。令人惊讶的是，它起作用了:) 但这条线正确吗？

我希望我没有把事情搞得太糟。

---

已在 SSLLabs 和许多其他网站上测试过，但如果您需要快速获取信息，您可能需要使用：

https://cryptoreport.websecurity.symantec.com/checker/

我正在保护的网站是：

https://www.zalohovaniburian.cz/

（目前它还不包含除“建设中”图像以外的任何内容。）

---

编辑1：

• 我生成了一个更大的 DHParameters 文件，其中包含：

  openssl dhparam -out dhparams.pem 4096
  

  并确保它只能由 进行读/写root。

• 最后，我将其包含在文件中：

  /etc/apache2/mods-available/ssl.conf
  

  使用以下行：

  SSLOpenSSLConfCmd DHParameters "/etc/ssl/dhparams.pem"
  

---

编辑2：

我买了一个普通的SSL证书，今天很晚才换了免费的Let's Encrypt，之前一直有个SpaceSSL。

---

编辑3：

除上述内容外，我还找不到：

• 我的证书使用哪个 DNS CAA？

• 如何启用 OCSP Must-Staple？