Proteção do servidor web TLS Configurações do Apache [closed]

1

OS: GNU / Linux Debian 9.2, totalmente atualizado.

Sob o título Protegendo as configurações do Apache do servidor web TLS , quero dizer o seguinte:

  • desativando o TLS 1.0, já feito com esta configuração:

    SSLProtocol -all +TLSv1.1 +TLSv1.2
    

    no seguinte arquivo:

    /etc/apache2/conf-available/security.conf
    
  • desativando a compactação GZIP, já feita com o seguinte comando:

    a2dismod deflate
    

    embora tenha me perguntado se realmente quero desabilitar este módulo, eu tive que digitar:

    Yes, do as I say!

    Então, naturalmente, eu tive algumas dúvidas sérias, mas parece não causar problemas.

    Originalmente, pensei nessa configuração:

    SSLCompression Off
    

    faria o truque, mas parece servir a outro propósito, de qualquer maneira, daqui para frente ...

  • Definindo alguns cabeçalhos úteis:

    Header always set X-Content-Type-Options: "nosniff"
    
    Header always set X-Frame-Options: "sameorigin"
    
    Header always set X-XSS-Protection: 1
    
    Header always set Content-Security-Policy: "default-src 'none'; script-src 'none'; style-src 'self'; img-src 'self'"
    
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    
  • Mudando para criptografia de 256 bits:

    SSLCipherSuite ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:DH+AES256:ECDH+AES256:DH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!DSS:!eNULL:!ADH:!EXP:!LOW:!PSK:!SRP:!RC4
    

    Esta é a minha principal pergunta, pois eu não sabia como fazer o switch corretamente, então eu simplesmente adicionei 256 em todos os lugares. Surpreendentemente, funciona :) Mas a linha está correta?

Espero não ter estragado muito.

Testado em SSLLabs e muitos outros sites, mas se você quiser informações rápidas, convém usar:

link

O site que estou protegendo é:

link

(Ainda não contém nada além da imagem "Em construção".)

EDIT1:

  • Eu gerou um arquivo DHParameters maior com:

    openssl dhparam -out dhparams.pem 4096
    

    e assegurou que só pode usar R / W em root .

  • Por fim, incluí-lo no arquivo:

    /etc/apache2/mods-available/ssl.conf
    

    com a linha:

    SSLOpenSSLConfCmd DHParameters "/etc/ssl/dhparams.pem"
    

EDIT2:

Eu comprei um certificado SSL normal , então hoje eu substituí o Free Let's Encrypt, que já existia antes para um SpaceSSL.

EDIT3:

Além do acima, não consigo descobrir:

  • Qual DNS do CAA meu certificado está usando?

  • Como habilitar o Must-Stain de OCSP?

por Vlastimil 25.11.2017 / 13:34

1 resposta

1
  1. Seu domínio não possui um registro CAA. Se você fizer dig CAA zalohovaniburian.cz , não receberá uma resposta. Compare com dig CAA google.com . Se você quiser usá-lo, você precisará provisioná-lo em sua zona, como www.zalohovaniburian.cz. CAA 128 issue "spacessl.com" , mas verifique com a CA que você está usando (SpaceSSL)

  2. Quanto ao OCSP, você tem algumas informações no guia fornecido por Håkan Lindqvist, no link ; este artigo fornece instruções detalhadas sobre como adicionar grampeamento OCSP ao Apache: link

PS: dê uma olhada no link para verificar SSL on-line, ele tem uma boa interface com links sobre como corrigir vários problemas detectados. Seu site recebe um A +, isso é muito bom!

    
por 25.11.2017 / 21:47