web-dev-qa-db-ja.com

Apache 2.2を使用してQualys SSL Labsで「A」を取得する方法

Qualysのssltestを数回実行してみましたが、一部のブラウザではPFSがサポートされていないという不満が何度もあります。

彼らの blog では、ssltestで「A」グレードを取得する必要があるApache 2.4の構成を提案していますが、Apache 2.2では構成が[予測どおり]「A」になりません。

このテストでApache 2.2を使用して「A」を取得できるかどうか誰かが知っていますか?もしそうなら、どうですか?

11
Mark E. Haase

Apache 2.2.26 はかない楕円曲線Diffie–Hellman(ECDHE)のサポートを追加しました。これはおそらく、テストでAを獲得する能力を妨げているものです。 ECDHEが利用できない場合、一部のInternet Explorerブラウザーは非転送秘密暗号スイートを優先します。これは、サーバーの暗号の順序やその他の要因を好むかどうかにも依存します。

10
John Downey

http://cipherli.st のサイトには、Apache、nginx、およびlighttpd用のQualys-rated A-Grade TLSを設定するための構成スニペットがあります。また、HSTS、OCSP-Stapling、X-Frame-Optionsのステートメントも含まれています。

8
heipei

Mozilla SSL Configuration Generator は、WebサーバーとopenSSLバージョンの構成を提案し、接続できるクライアントを通知します。

最善の方法は、 Apache 2.2.31の最新プロファイル を使用することです。

1
Matthias Weiler

結果ページのスクリーンショットを作成します。サーバーをテストするときは常にドキュメントへのリンクがいくつかあり、ランクAを取得するために何を改善するかについての多くのヒントがあります。

あなたはあなたのセットアップのためにそれらのガイドに従っていましたか? pfsの横に必要な hsts Aを取得するために有効

iirc使用可能な暗号は、Apacheバージョンに依存せず、使用されるopenssl-versionに依存します