ผมลองกดกุญแจเขียว แล้วเห็นคำว่า obsolete cipher suite มันทำให้ข้องใจ ทำ SSL website ของเราได้แล้วแต่เหมือนทำไม่เสร็จ มันเป็นเพราะ configuration ของ http server ของเรา
เครื่องมือนี้ของ mozilla ช่วยเราได้ ssl-config-generator
เมื่อตรวจสอบ version ของ apache และ openssl ใน server แล้วเลือกตามเลขที่ได้มา configuration ก็จะแสดงในกล่องด้านล่าง
จากที่ลองเลือกเล่นๆ สังเกตได้ว่า ถ้าอยากได้ modern config จะต้องเป็น nginx หรือ apache version ใหม่ๆ ถ้าของใครใส่ config เพิ่มแล้วเปลี่ยนจาก obsolete แล้วไม่ได้ modern ก็ไม่ต้องแปลกใจนะครับ
ของผมได้แบบนี้
<VirtualHost *:443>
...
SSLEngine on
SSLCertificateFile /path/to/signed_certificate
SSLCertificateChainFile /path/to/intermediate_certificate
SSLCertificateKeyFile /path/to/private/key
SSLCACertificateFile /path/to/all_ca_certs
# HSTS (mod_headers is required) (15768000 seconds = 6 months)
Header always set Strict-Transport-Security "max-age=15768000"
...
</VirtualHost>
intermediate configuration, tweak to your needs
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLHonorCipherOrder on
ตรง /path/to/...
เนี่ยก็คือที่ที่เราเก็บ certificate files ของเราเอาไว้ ซึ่งถ้าอ่านมาจาก post ที่แล้วเรื่องการสร้างใบรับรองด้วย Let's Encrypt
ดูว่า Header มี configuration ตามตัวอย่างหรือยัง ตรวจสอบด้วยว่าเปิดใช้งาน module mod_headers
แล้ว
ส่วน SSLCertificate*
เราไม่ต้องแก้ไขเพราะทำไปแล้ว ให้ไปดูตรง SSLProtocol, SSLCipherSuite, SSLHonorCipherOrder ว่าตรงกัน หรือมีครบตามที่เครื่องมือบอกมาแล้วหรือยัง
แก้ไขแล้วเซฟไฟล์ รีสตาร์ท apache เพื่อให้มันอ่าน configuration ใหม่เข้าไป แค่นี้แหละเสร็จแล้ว :)
ไม่มีความคิดเห็น :
แสดงความคิดเห็น