操作系统:GNU/Linux Debian 9.2,已完全更新。
在标题之下强化 TLS Web 服务器 Apache 设置我的意思如下:
禁用 TLS 1.0,已通过此设置完成:
SSLProtocol -all +TLSv1.1 +TLSv1.2
在以下文件中:
/etc/apache2/conf-available/security.conf
禁用 GZIP 压缩,已使用以下命令完成:
a2dismod deflate
虽然它询问我是否真的要禁用此模块,但我必须输入:
是的,按我说的做!
因此很自然地,我产生了一些严重的怀疑,但这似乎没有引起任何问题。
我原本以为,该设置:
SSLCompression Off
可以解决问题,但它似乎还有另一个用途,无论如何继续前进......
设置一些有用的标头:
Header always set X-Content-Type-Options: "nosniff" Header always set X-Frame-Options: "sameorigin" Header always set X-XSS-Protection: 1 Header always set Content-Security-Policy: "default-src 'none'; script-src 'none'; style-src 'self'; img-src 'self'" Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
切换到256位加密:
SSLCipherSuite ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:DH+AES256:ECDH+AES256:DH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!DSS:!eNULL:!ADH:!EXP:!LOW:!PSK:!SRP:!RC4
这是我的主要问题,因为我不知道如何正确地进行切换,所以我只是
256
到处添加。令人惊讶的是,它起作用了:) 但这条线正确吗?
我希望我没有把事情搞得太糟。
已在 SSLLabs 和许多其他网站上测试过,但如果您需要快速获取信息,您可能需要使用:
https://cryptoreport.websecurity.symantec.com/checker/
我正在保护的网站是:
https://www.zalohovaniburian.cz/
(目前它还不包含除“建设中”图像以外的任何内容。)
编辑1:
我生成了一个更大的 DHParameters 文件,其中包含:
openssl dhparam -out dhparams.pem 4096
并确保它只能由 进行读/写
root
。最后,我将其包含在文件中:
/etc/apache2/mods-available/ssl.conf
使用以下行:
SSLOpenSSLConfCmd DHParameters "/etc/ssl/dhparams.pem"
编辑2:
我买了一个普通的SSL证书,今天很晚才换了免费的Let's Encrypt,之前一直有个SpaceSSL。
编辑3:
除上述内容外,我还找不到:
我的证书使用哪个 DNS CAA?
如何启用 OCSP Must-Staple?
答案1
您的域名没有 CAA 记录。如果有,
dig CAA zalohovaniburian.cz
您将不会收到回复。与 进行比较dig CAA google.com
。如果您想使用它,您需要在您的区域中配置它,www.zalohovaniburian.cz. CAA 128 issue "spacessl.com"
但请与您使用的 CA (SpaceSSL) 仔细检查至于 OCSP,你可以在 Håkan Lindqvist 提供的指南中找到一些信息https://wiki.mozilla.org/Security/Server_Side_TLS#OCSP_Stapling;本文详细介绍了如何将 OCSP Stapling 添加到 Apache:https://www.digitalocean.com/community/tutorials/how-to-configure-ocsp-stapling-on-apache-and-nginx
PS:看看https://www.ssllabs.com/ssltest/对于在线 SSL 检查,它有一个很好的界面,其中包含有关如何解决检测到的各种问题的链接。您的网站获得了 A+,这非常好!