За да получите възможно най-високата оценка А+ за конфигурация на инсталираните SSL сертификати на сървъра Ви от сайта SSLLabs е нужно да направим леки корекции в конфигурационния файл на apache модула mod_ssl. За целта го отваряме с vi или nano:
1 |
nano /etc/apache2/mods-enabled/ssl.conf |
и най-долу преди </IfModule> добавяме следното:
1 2 3 4 5 6 7 8 9 |
## SSL Global Config ## Getting an "A+" on Qualys SSL Labs with Apache 2.2/2.4 SSLHonorCipherOrder On SSLVerifyClient none SSLVerifyDepth 1 SSLProtocol -All +TLSv1.2 +TLSv1.1 +TLSv1 SSLCipherSuite "EECDH+AES:AES256-SHA:AES128-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH:!EXP:!SRP:!DSS:!LOW" SSLInsecureRenegotiation Off Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains" |
Накрая е нужно да активираме mod_headers и да рестартираме apache:
1 |
a2enmod headers && service apache2 restart |
Това е. Сега може да тествате сайта си.
Инструкциите са тествани на:
Debian Wheezy (Debian 7)
Debian Jessie (Debian 8)
Debian Stretch (Debian 9)
Аналогинчен е начина и при другите операционни системи като CentOS, Ubuntu, OpenSUSE, Gentoo и други, с разликата, че там е хубаво тези директиви да са описани в глобалния apache2.conf/httpd.conf