Web je věnován nastavení SSL/TLS protokolu za použití Apache serveru a služby ZonerCloud.
Zabývá se počáteční konfigurací nově zřízeného serveru - pro ostré nasazení není možné použít výchozí konfiguraci serveru.

Odkazy

ZonerCloud
SSLmarket
Zoner Software
SSLlabs test serveru

Zoner software a.s. je poskytovatel kompletních internetových služeb Czechia.com již od 1996.

Defaultní nastavení Debian serveru

Výchozí (defaultní) nastavení Debianu (verze 7) není pro produkční nasazení příliš vhodné. Server ve výchozím nastavení stále akceptuje připojení přes SSLv3 protokol, který se už nepoužívá.

Úprava nastavení SSL/TLS

Po instalaci certifikátu je potřeba udělat tyto kroky:

Vypnutí protokolu SSLv3

Zastaralý protokol SSLv3 můžete vypnout buď u všech vhostů, nebo na celém serveru.

Upravte v /etc/apache2/mods-available/ssl.conf:
SSLProtocol all -SSLv2 -SSLv3

Vypnutí RC4

Šifra RC4 je považovaná za problematickou, protože je vektorem zranitelnosti BEAST.

Zakázání šifry je jednoduché. Stačí dát před nežádoucí šifru vykřičník a server už ji nebude používat.

Upravte v /etc/apache2/mods-available/ssl.conf:
SSLCipherSuite ... !RC4

Forward Secrecy

Forward Secrecy slouží k ochraně přenesených informací před pozdějším dešifrováním (například po ukradení privátního klíče). Předpokladem pro funkční Forward Secrecy jsou dva Diffie-Hellman algoritmy pro výměnu klíčů DHE a ECDHE.

Více o nasazení Forward Secrecy najdete v článku SSL Labs: Deploying Forward Secrecy. Pokud se vám nechce problematika studovat, stačí nastavit níže uvedené pořadí šifer do konfigurace.

Upravte v /etc/apache2/mods-available/ssl.conf:
SSLHonorCipherOrder on

SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"

Nové nastavení otestujte

Tato konfigurace zajistí vysokou míru bezpečnosti při zachování maximální možné kompatibility se staršími prohlížeči. Při dosažení absolutního hodnocení (4x 100) by se na váš server většina z nich nepřipojila.

Po provedení změn bude nastavení SSL/TLS na dostatečné úrovni a server bude vhodně zabezpečen. Doporučuji provést test serveru na SSLlabs.

Napište název domény a otestujte správnost nastavení SSL/TLS:

 

Bude-li hodnocení A, můžete být spokojeni - zabezpečení je bez výhrad. V opačném případě zákazníkům podpora SSLmarketu ráda poradí.

ABOUT SSL CERTIFICATES