如何在Qualys SSL Labs取得Grade A-SSL安全之1
我是用webmin/virtualmin來管理網站,並透過免費let’s encrypt做SSL安全加密連線。雖然let’s encrypt每三個月要更新一次,但virtualmin可以設定自動更新,所以幫客戶用SSL的網站都是標準配備,而且輕鬆愉快。不過今天用Qualys SSL Labs去檢查網站竟然只有Grade B。
SSL安全問題
Qualys SSL Labs除了Summary顯示SSL安全等級外,下面也會列出詳細缺失,看了一下,好像是Cipher Suites的問題比較嚴重。
SSL安全修正
一樣去求教Google大神,找到APPACHE的SSL建議設定文章SSL/TLS Strong Encryption: How-To。編輯virtualhost組態設定,在SSLCACertificateFile下方增加指令描述如下:
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off存檔後,記得重啟APACHE。
重新檢測SSL,就變成Grade A
要點選Clear cache清除快取,要不然會一直出現舊的檢測結果。
後記
其實增添APACHE的建議設定後,還是會有少數Cipher Suites的問題,我原本以為把這少數問題排除後,就會變成Grade A+,但也沒有。我看了其它A+的網站,問題比我還多,所以要繼續升級的關鍵是在其它地方,日後有空再來測試。
註:更多的雲端主機相關文章,請點選尚虎網科-雲端主機
