За да получите възможно най-високата оценка А+ за конфигурация на apache инсталираните SSL сертификати на сървъра Ви от сайта SSLLabs е нужно да направим леки корекции в конфигурационния уеб сървъра. За целта го отваряме с vi или nano:
- Debian / Ubuntu
nano /etc/apache2/mods-enabled/ssl.conf
и най-долу преди </IfModule> добавяме следното:
### SSL Global Config # Getting an "A+" on Qualys SSL Labs with Apache 2.2 / Apache 2.4 SSLHonorCipherOrder On SSLCompression off SSLVerifyClient none SSLVerifyDepth 1 #SSLProtocol -All +TLSv1.2 +TLSv1.1 +TLSv1 SSLProtocol -All +TLSv1.3 SSLCipherSuite "EECDH+AES:AES256-SHA:AES128-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH:!EXP:!SRP:!DSS:!LOW" SSLInsecureRenegotiation Off # Guarantee HTTPS for 180 days including sub domains # a2enmod headers && service apache2 restart Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains"
- За RHEL
nano /etc/httpd/conf.d/ssl.conf
Над:
## ## SSL Virtual Host Context ##
добавяме:
### SSL Global Config # Getting an "A+" on Qualys SSL Labs with Apache 2.2 / Apache 2.4 SSLHonorCipherOrder On SSLCompression off SSLVerifyClient none SSLVerifyDepth 1 #SSLProtocol -All +TLSv1.2 +TLSv1.1 +TLSv1 SSLProtocol -All +TLSv1.3 SSLCipherSuite "EECDH+AES:AES256-SHA:AES128-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH:!EXP:!SRP:!DSS:!LOW" SSLInsecureRenegotiation Off # Guarantee HTTPS for 180 days including sub domains # a2enmod headers && service apache2 restart Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains"
Накрая е нужно да активираме mod_headers и да рестартираме apache:
За Debian:
a2enmod headers && service apache2 restart
За RHEL:
В /etc/httpd/conf.modules.d/00-base.conf се уверяваме, че е активиран headsrs модула:
LoadModule headers_module modules/mod_headers.so