Por favor, verifique novamente minha configuração SSL. Está tudo bem?

Question

Por favor, verifique novamente minha configuração SSL. Está tudo bem?

#1 resposta do (4 votos)
#2 resposta do (1 votos)

1

Sou novo no SSL. Eu configuro no meu sistema CentOS 5 rodando o Apache 2.2.3-65. Parece estar funcionando - um pode navegar no meu site e o protocolo https é exibido na barra de endereço.

Aqui está minha configuração do SSL vhost. Parece ok? Eu cometi algum erro grave?

A intenção é que todo o tráfego desse site em particular seja criptografado, portanto, não há vhost para a porta 80, apenas essa.

<VirtualHost *:443>
    ServerName www.mydomain.com
    ServerAlias mydomain.com
    DocumentRoot "/opt/deployed_rails_apps/my_app/current/public"

    SSLEngine on
    SSLCertificateFile /etc/pki/tls/certs/www.mydomain.com.crt
    SSLCertificateKeyFile /etc/pki/tls/certs/www.mydomain.com.pem
    SSLCACertificateFile /etc/pki/tls/certs/www.mydomain.com.ca-bundle

    ErrorLog "logs/mydomain.com-ssl-error_log"
    CustomLog "logs/mydomain.com-ssl-access_log" common
    CustomLog "logs/mydomain.com-ssl-deflate_log" deflate
    <Directory "/opt/deployed_rails_apps/rock_pebble/current/public">
        Options -MultiViews FollowSymLinks
        AllowOverride None
        Order allow,deny
        Allow from all
    </Directory>
</Virtualhost>

ssl https virtualhost apache-2.2

por Agvorth 13.07.2012 / 05:09

2 respostas

1

Parece ótimo, mas remova a diretiva ServerAlias , a menos que seu certificado funcione em "www.example.com" e "example.com".

por 13.07.2012 / 05:20

Tags ssl https virtualhost apache-2.2

Usando a porta 80 para o servidor web adiciona uma estranha cadeia de consulta Os arquivos access.log do Apache ocupam muito espaço

score 4 · Accepted Answer

Isso funcionará, certamente. Mas aqui estão mais algumas opções que você deve incluir para melhorar a segurança:

SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
SSLProtocol all -SSLv2
Header add Strict-Transport-Security "max-age=15768000"

Você também deve verificar a segurança do seu servidor contra o SSL Pulse e ver seus SSL Best Practices Guide . Há também um Guia de classificação SSL , que explica por que essas opções são uma boa ideia.