加密演算法也是資安的評量點。
設定的參考可以使用 moz://a SSL Configuration Generator 所建議的 Cipher Suite 設定。
設定值:
SSLProtocol -all +TLSv1.2 +TLSv1.3 //刪除所有的 protocol 並加入 TLSv1.2 , TLSv1.3
也可以這樣子寫
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 // 使用所有的 protocol 不使用SSLv3 ,TLSv1,TLSv1.1
SSLProxyProtocol (與 SSLCipherSuite 的設定相同)
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLProxyCipherSuite (與 SSLCipherSuite 的設定相同)
SSLUseStapling On //加快 SSL certificate 驗証
# HTTP Strict Transport Security (mod_headers is required) (63072000 seconds)
Header always set Strict-Transport-Security "max-age=63072000"
檢測 SSL Cipher 檢測工具
- nmap : e.g. nmap --script ssl-enum-ciphers -p 443 Server_IP -P0 | find "EXP"
- sslscan windows
參考資料:
- Strong SSL Security on Apache2
- Security/Server Side TLS
- moz://a SSL Configuration Generator
- CVE-2015-4000 檢測方式與修補方式
- SSLCipherSuite Directive
- Apache 啟用 OCSP ,加快網站速度
- 讓你的 SSL 更安全 – 移除弱 SSL 加密方式 (Cipher)
- SS Labs
沒有留言:
張貼留言