Cách cấu hình Qualys SSL Labs để xếp hạng cấu hình hạng A

Ngô Dũng

1. Yêu cầu:

  • Debian tối thiểu * Jessie và Apache V 2.4.10

2. Cách cấu hình Qualys SSL Lab để xếp hạng cấu hình hạng A

Bước 1: Sửa DNS CAA No thành Yes bằng cách thêm bản ghi CAA trên DNS Server

Clouddns: Thêm Bản ghi CAA, chọn Nhà cung cấp (Nếu có sẵn : Comodo, Digicert, v.v.), nếu trường chèn thủ công Trả lời bằng 0 (Số 0 -255), Thẻ có vấn đề và Giá trị với comodoca.com (nếu SSL Comodo),, letsencrypt.org (If Lets Encrypt SLL) rồi Save All Changes, đợi 1 tiếng là xong. Sau đó kiểm tra trạng thái CAA tại https://caatest.co.uk

Bước 2: Cảnh báo SNI không chính xác

Chèn bên dưới vào phần VirtualHost conf rồi #service apache2 restart

nano /etc/apache2/sites-available/default-ssl.conf

Chèn ở dưới cùng trước thẻ đóng của VirtualHost “</VirtualHost>”

ServerName example.com 
ServerAlias ​​www.example.com example.com
Bước 3: Kích hoạt Apache OCSPStaplin

Chỉ định vị trí phản hồi được lưu trong bộ nhớ cache (bên ngoài <VirtualHost>, trước <VirtualHost _default_:443>

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling(32768)

The được đặt trước văn bản sau:

## SSL Virtual Host Context
<VirtualHost _default_:443>

**** Tùy chọn Kích hoạt giao thức HTTP/2 trên default-ssl.conf

Chèn  Giao thức h2 h2c http/1.1  sau <VirtualHost _default_:443> trên /etc/apache2/sites-available/default-ssl.conf

Bên dưới cấu hình trên /etc/apache2/sites-enable/default-ssl.conf

** kích hoạt Header trước bằng lệnh #a2enmod headers

SSLEngine on

SSLCipherSUite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !CAMELLIA !SEED !3DES !RC4 !aNULL !eNULL !LOW !MD5 !EXP !PSK !SRP !DSS"

# This TLSv1.2 only
SSLProtocol TLSv1.2
# To use TLSv1.2 and TLSv1.3 uncomment line below and comment one above. Please read note above.
#SSLProtocol +TLSv1.2 +TLSv1.3

#enable of OCSP stapling, only in httpd 2.3.3 and later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off

#if you want to add DHE (Diffie-Hellman key exchange), HTTPD 2.4.8 later, run openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096 uncomment below
#SSLOpenSSLConfCmd Curves secp384r1
#SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

SSLCertificateFile /etc/apache2/ssl/example.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/example.com.key
SSLCertificateChainFile /etc/apache2/ssl/example.com.ca-bundle

#Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains" activate first in with command #a2enmod headers
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"

Bước 4: Bật và tải mod_rewrite Apache2 trên Debian 8

#a2enmod rewrite

Bật tiêu đề

#a2enmod headers

Bật SSL

#a2enmod ssl

** Tùy chọn Kích hoạt mô-đun HTTP/2 

#a2enmod http2

Áp dụng mô-đun SSL cho trang web

#a2ensite default-ssl

Để kích hoạt cấu hình mới, bạn cần chạy:

#service apache2 reload

Cài đặt SSL/TLS khác trên /etc/apache2/mods-enabled/ssl.conf

#Turn Nén SSL & Đảm bảo mật mã được sử dụng theo thứ tự

SSLCompression off 
SSLHonorCipherOrder on

Bật nhật ký SSL bằng cách thêm tập lệnh bên dưới ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog 

ErrorLog ${APACHE_LOG_DIR}/ssl_engine.log
LogLevel debug

3. Đôi khi xảy ra lỗi, nhật ký ví dụ bên dưới

[Mon Nov 25 09:54:07.361518 2019] [ssl:error] [pid 5035] (70007)The timeout specified has expired: [client 84.240.234.36:32844] AH01985: error reading response from OCSP server

Giải pháp

SSLStaplingResponderTimeout 3

Khi các máy chủ Phản hồi OCSP của Sectigo không phản hồi đủ nhanh, các yêu cầu OSCP không thành công và các lỗi được lưu ý trên chuỗi này đã được ghi vào nhật ký lỗi của Apache. Vô hiệu hóa tính năng dập ghim OCSP:

SSLUseStapling off

Hoặc, thay vì vô hiệu hóa OCSP Stapling, chúng ta có thể tăng giá trị thời gian chờ mặc định (11 giây có vẻ phù hợp với sự cố ngày hôm qua):

SSLStaplingResponderTimeout 11
0/5 (0 Reviews)

Leave a Comment