Web je věnován nastavení SSL/TLS protokolu za použití Apache serveru a služby ZonerCloud.
Zabývá se počáteční konfigurací nově zřízeného serveru - pro ostré nasazení není možné použít výchozí konfiguraci serveru.
Vaše IP adresa: 3.227.240.31
Jste připojení protokolem TLSv1.2 za použití šifry ECDHE-ECDSA-AES256-GCM-SHA384 s klíčem dlouhým 256 bitů.
Algoritmus veřejného klíče: id-ecPublicKey a podpisu: ecdsa-with-SHA256
Zoner software a.s. je poskytovatel kompletních internetových služeb Czechia.com již od 1996.
Výchozí (defaultní) nastavení linuxového serveru (Debian, Ubuntu, atd.) není pro produkční nasazení příliš vhodné. Server ve výchozím nastavení stále akceptuje připojení přes SSLv3 protokol, který se už nepoužívá.
Po instalaci certifikátu je potřeba udělat tyto kroky:
Zastaralé protokoly můžete vypnout buď u všech vhostů, nebo na celém serveru.
Upravte v /etc/apache2/mods-available/ssl.conf:SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 Šifra RC4 je považovaná za problematickou, protože je vektorem zranitelnosti BEAST.
Zakázání šifry je jednoduché. Stačí dát před nežádoucí šifru vykřičník a server už ji nebude používat.
Upravte v /etc/apache2/mods-available/ssl.conf:
SSLCipherSuite ... !RC4
Forward Secrecy slouží k ochraně přenesených informací před pozdějším dešifrováním (například po ukradení privátního klíče). Předpokladem pro funkční Forward Secrecy jsou dva Diffie-Hellman algoritmy pro výměnu klíčů DHE a ECDHE.
Více o nasazení Forward Secrecy najdete v článku SSL Labs: Deploying Forward Secrecy. Pokud se vám nechce problematika studovat, stačí nastavit níže uvedené pořadí šifer do konfigurace.
Upravte v /etc/apache2/mods-available/ssl.conf:
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"
Tato konfigurace zajistí vysokou míru bezpečnosti při zachování maximální možné kompatibility se staršími prohlížeči. Při dosažení absolutního hodnocení (4x 100) by se na váš server většina z nich nepřipojila.
Po provedení změn bude nastavení SSL/TLS na dostatečné úrovni a server bude vhodně zabezpečen. Doporučuji provést test serveru na SSLlabs.
Napište název domény a otestujte správnost nastavení SSL/TLS:
Bude-li hodnocení A, můžete být spokojeni - zabezpečení je bez výhrad. V opačném případě zákazníkům podpora SSLmarketu ráda poradí.