web-dev-qa-db-ja.com

TLSWebサーバーのApache設定の強化

OS:GNU/Linux Debian 9.2、完全に更新されました。

タイトルの下でTLS WebサーバーのApache設定を強化する私は次のことを意味します:

  • tLS 1.0の無効化、すでにこの設定で行われています:

    SSLProtocol -all +TLSv1.1 +TLSv1.2
    

    次のファイルで:

    /etc/Apache2/conf-available/security.conf
    
  • gZIP圧縮の無効化。すでに次のコマンドで実行されています。

    a2dismod deflate
    

    このモジュールを本当に無効にするかどうかを尋ねられましたが、次のように入力する必要がありました。

    はい、私が言うようにしてください!

    当然のことながら、深刻な疑問がありましたが、問題はないようです。

    私は当初、その設定を考えました:

    SSLCompression Off
    

    トリックを行うだろうが、とにかく今後、それは別の目的を果たすようです...

  • いくつかの便利なヘッダーの設定:

    Header always set X-Content-Type-Options: "nosniff"
    
    Header always set X-Frame-Options: "sameorigin"
    
    Header always set X-XSS-Protection: 1
    
    Header always set Content-Security-Policy: "default-src 'none'; script-src 'none'; style-src 'self'; img-src 'self'"
    
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    
  • 256ビット暗号化への切り替え:

    SSLCipherSuite ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:DH+AES256:ECDH+AES256:DH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!DSS:!eNULL:!ADH:!EXP:!LOW:!PSK:!SRP:!RC4
    

    切り替えを正しく行う方法がわからなかったので、これが私の主な質問です。そのため、どこにでも256を追加しました。驚いたことに、それは機能します:)しかし、行は正しいですか?

あまり台無しにならなかったといいのですが。


SSLLabsや他の多くのサイトでテストされていますが、簡単な情報が必要な場合は、次のものを使用することをお勧めします。

https://cryptoreport.websecurity.symantec.com/checker/

私が保護しているウェブサイトは次のとおりです。

https://www.zalohovaniburian.cz/

(まだ「工事中」の画像以外は含まれていません。)


EDIT1:

  • 私はより大きなDHParametersファイルを次のように生成しました:

    openssl dhparam -out dhparams.pem 4096
    

    rootによってのみR/W可能であることが保証されています。

  • 最後に、私はそれをファイルに含めました:

    /etc/Apache2/mods-available/ssl.conf
    

    行で:

    SSLOpenSSLConfCmd DHParameters "/etc/ssl/dhparams.pem"
    

EDIT2:

normalSSL証明書を購入したので、今日遅くに無料のLet'sEncryptを交換しました。以前はSpaceSSLがありました。


EDIT3:

上記に加えて、私は見つけることができません:

  • 証明書はどのDNSCAAを使用していますか?

  • OCSP Must-Stapleを有効にする方法は?

1
  1. ドメインにCAAレコードがありません。 Dig CAA zalohovaniburian.czを実行すると、返信はありません。 Dig CAA google.comと比較してください。使用する場合は、www.zalohovaniburian.cz. CAA 128 issue "spacessl.com"のようにゾーンでプロビジョニングする必要がありますが、使用しているCA(SpaceSSL)に再確認してください。

  2. OCSPについては、HåkanLindqvistが提供するガイドにいくつかの情報があります https://wiki.mozilla.org/Security/Server_Side_TLS#OCSP_Stapling ;この記事では、OCSPステープリングをApacheに追加する方法の詳細なハウツーを示します: https://www.digitalocean.com/community/tutorials/how-to-configure-ocsp-stapling-on-Apache-and-nginx

PS:オンラインSSLチェックについては https://www.ssllabs.com/ssltest/ をご覧ください。検出されたさまざまな問題を解決する方法に関するリンクを備えた優れたインターフェイスがあります。あなたのウェブサイトはA +を取得します、これはとても良いです!

1
Patrick Mevzek