Pokročilé nastavení HTTPS

radiuscz edited this page Feb 12, 2018 · 6 revisions

Otestujte server pomocí tohoto nástroje: https://www.ssllabs.com/ssltest/index.html

Nalezené problémy opravte.

Typicky je vhodné provést tato nastavení:

Zapnout HSTS

Zjednodušeně řečeno to znemožní jakoukoliv nešifrovanou komunikaci se serverem, jak to funguje je celkem dobře popsáno na Wikipedii

Nastavení Apache

Aktivujte modul headers:

a2enmod headers

Do konfiguračního souboru přidejte:

Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains;"

Nastavení nginx

Do konfigurace přidejte:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;" always;

Omezit používané šifry:

Apache

SSLHonorCipherOrder on

SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES

nginx

ssl_prefer_server_ciphers on;

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

Nastavit CAA DNS záznamy

U vašeho správce domény si nastavte v administraci 2 DNS záznamy s těmito parametry:

1. záznam

  • Typ záznamu: CAA
  • Název: vaše doména, např.: koha.cz
  • flags: 0
  • tag: issue
  • value: letsencrypt.org

2. záznam

  • Typ záznamu: CAA
  • Název: vaše doména, např.: koha.cz
  • flags: 0
  • tag: issuewild
  • value: letsencrypt.org

Zapnout session cache

Apache

SSLSessionCache shmcb:/some/example/path/ssl_scache(512000)

nginx

ssl_session_cache shared:ssl_session_cache:10m;

Nastavit parametry pro silné šifrování Diffie-Hellman

Vygenerovat 2048bitové dhparams

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

Použít dhparams.pem

ssl_dhparam /etc/nginx/ssl/dhparam.pem;

Poznámka na závěr

Tato stránka je jen stručný návod, jak s relativně malým úsilím dosáhnout vysokého stupně zabezpečení. Pro podrobnější informace doporučujeme například tento návod.

Clone this wiki locally
You can’t perform that action at this time.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session.
Press h to open a hovercard with more details.