Apache安全证书配置

发布于 2019-08-10  27 次阅读


现如今,https已经成了许多网站的标配。比起最初需要付费的证书,现在已经有了许多免费的证书
但是,仅仅是在服务器上部署证书还是不够的,就apache而言(没用过别的),默认的配置仍然具有安全隐患。下面提供了一些加强配置
apache版本>2.2

去除老旧的协议

vim /etc/httpd/conf.d/ssl.conf

搜索SSLProtocol
去掉SSLProtocol All -SSLv2 -SSLv3 -TLSv1之前的注释(或者自己写也可以)

如果你需要让网站支持一些老旧的浏览器或操作系统,那么请输入SSLProtocol All -SSLv2 -SSLv3即可


禁止使用RC4密码套件

2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥(《Weakness in the Key Scheduling Algorithm of RC4》,FMS 发表于2001年)进行的攻击,并命名为“受戒礼”攻击(Bar Mitzvah Attack)。根据《Attacking SSL when using RC4》中的阐述,漏洞的成因主要在于不变性弱密钥是RC4密钥中的一个L型的图形,它一旦存在于RC4的密钥中,在整个初始化的过程之中保持状态转换的完整性。这个完整的部分包括置换过程中的最低有效位,在由RPGA算法处理的时候,决定伪随机输出流的最低有效位。这些偏差的流字节和明文进行过异或,导致密文中会泄露重要明文信息。
vim /etc/httpd/conf.d/ssl.conf

搜索SSLCipherSuite
偷懒的方法:
去掉SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA之前的注释
提高安全的方法:
自行添加SSLCipherSuite EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5;


优先使用FS系列加密套件

vim /etc/httpd/conf.d/ssl.conf

搜索SSLHonor
去掉SSLHonorCipherOrder on之前的注释


开启HSTS

vim /etc/httpd/conf/httpd.conf

搜索mod_headers
找到LoadModule headers_module modules/mod_headers.so
去掉注释(没有就自己加上)

vim /etc/httpd/conf.d/ssl.conf

VirtualHost的最后插入Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"