SSL сертификат с С до А+ на Apache 2.4

После установки и использования apache2 с дефолтными настройками SSL можно увидеть, что уровень доверия к Вашем сертификату несколько низкий, проверить можно тут https://www.ssllabs.com/ssltest/

Повысим уровень доверия до А+ используя дефолтный конфиг

В файле /etc/apache2/sites-available/default-ssl.conf раскомментировать SSLCertificateChainFile,
SSLHonorCipherOrder

также в данном файле /etc/apache2/sites-available/default-ssl.conf заменить значение переменной SSLCipherSuite:

на

В файле /etc/apache2/mods-available/ssl.conf изменить протоколы:

Теперь необходимо создать файл для промежуточного сертификата, т.к. мы включили его поддержку раскомментировав строку SSLCertificateChainFile ранее, если дефолтный конфиг тогда:

в файл необходимо включит содержимое нашего *.bundle файла, который Вы получаете при регистрации SSL сертификата.

Уже на данном этапе Вы получите уровень А, но наша с вами цель достичь А+

В файле Вашего виртхоста /etc/apache2/sites-enabled/default-ssl.conf добавляем поддержку HSTS:

Не забываем настроить любым способом принудительный редирект на https (если удовлетворяет требование Ваше web приложение), к примеру так:

Имейте ввиду, что директива «max-age» представлена в секундах. 31536000 секунд (12 месяцев) может быть изменена в зависимости от того, как долго администратор веб-сервера предполагает использовать сайт исключительно по HTTPS. Рекомендовано устанавливать значение «max-age» довольно большим вроде 31536000 (12 мес.) или 63072000 (24 мес.).

Больше информации на тему настроек HSTS можно найти тут

 

Выполняем reload конфигурации apache2 и прогоняем через ssllabs тест повторно:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *