1. Yêu cầu:
- Debian tối thiểu * Jessie và Apache V 2.4.10
2. Cách cấu hình Qualys SSL Lab để xếp hạng cấu hình hạng A
Bước 1: Sửa DNS CAA No thành Yes bằng cách thêm bản ghi CAA trên DNS Server
Clouddns: Thêm Bản ghi CAA, chọn Nhà cung cấp (Nếu có sẵn : Comodo, Digicert, v.v.), nếu trường chèn thủ công Trả lời bằng 0 (Số 0 -255), Thẻ có vấn đề và Giá trị với comodoca.com (nếu SSL Comodo),, letsencrypt.org (If Lets Encrypt SLL) rồi Save All Changes, đợi 1 tiếng là xong. Sau đó kiểm tra trạng thái CAA tại https://caatest.co.uk
Bước 2: Cảnh báo SNI không chính xác
Chèn bên dưới vào phần VirtualHost conf rồi #service apache2 restart
nano /etc/apache2/sites-available/default-ssl.conf
Chèn ở dưới cùng trước thẻ đóng của VirtualHost “</VirtualHost>”
ServerName example.com ServerAlias www.example.com example.com
Bước 3: Kích hoạt Apache OCSPStaplin
Chỉ định vị trí phản hồi được lưu trong bộ nhớ cache (bên ngoài <VirtualHost>, trước <VirtualHost _default_:443>
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling(32768)
The được đặt trước văn bản sau:
## SSL Virtual Host Context <VirtualHost _default_:443>
**** Tùy chọn Kích hoạt giao thức HTTP/2 trên default-ssl.conf
Chèn Giao thức h2 h2c http/1.1 sau <VirtualHost _default_:443> trên /etc/apache2/sites-available/default-ssl.conf
Bên dưới cấu hình trên /etc/apache2/sites-enable/default-ssl.conf
** kích hoạt Header trước bằng lệnh #a2enmod headers
SSLEngine on SSLCipherSUite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !CAMELLIA !SEED !3DES !RC4 !aNULL !eNULL !LOW !MD5 !EXP !PSK !SRP !DSS" # This TLSv1.2 only SSLProtocol TLSv1.2 # To use TLSv1.2 and TLSv1.3 uncomment line below and comment one above. Please read note above. #SSLProtocol +TLSv1.2 +TLSv1.3 #enable of OCSP stapling, only in httpd 2.3.3 and later SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off #if you want to add DHE (Diffie-Hellman key exchange), HTTPD 2.4.8 later, run openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096 uncomment below #SSLOpenSSLConfCmd Curves secp384r1 #SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem" SSLCertificateFile /etc/apache2/ssl/example.com.crt SSLCertificateKeyFile /etc/apache2/ssl/example.com.key SSLCertificateChainFile /etc/apache2/ssl/example.com.ca-bundle #Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains" activate first in with command #a2enmod headers Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
Bước 4: Bật và tải mod_rewrite Apache2 trên Debian 8
#a2enmod rewrite
Bật tiêu đề
#a2enmod headers
Bật SSL
#a2enmod ssl
** Tùy chọn Kích hoạt mô-đun HTTP/2
#a2enmod http2
Áp dụng mô-đun SSL cho trang web
#a2ensite default-ssl
Để kích hoạt cấu hình mới, bạn cần chạy:
#service apache2 reload
Cài đặt SSL/TLS khác trên /etc/apache2/mods-enabled/ssl.conf
#Turn Nén SSL & Đảm bảo mật mã được sử dụng theo thứ tự
SSLCompression off SSLHonorCipherOrder on
Bật nhật ký SSL bằng cách thêm tập lệnh bên dưới ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog
ErrorLog ${APACHE_LOG_DIR}/ssl_engine.log LogLevel debug
3. Đôi khi xảy ra lỗi, nhật ký ví dụ bên dưới
[Mon Nov 25 09:54:07.361518 2019] [ssl:error] [pid 5035] (70007)The timeout specified has expired: [client 84.240.234.36:32844] AH01985: error reading response from OCSP server
Giải pháp
SSLStaplingResponderTimeout 3
Khi các máy chủ Phản hồi OCSP của Sectigo không phản hồi đủ nhanh, các yêu cầu OSCP không thành công và các lỗi được lưu ý trên chuỗi này đã được ghi vào nhật ký lỗi của Apache. Vô hiệu hóa tính năng dập ghim OCSP:
SSLUseStapling off
Hoặc, thay vì vô hiệu hóa OCSP Stapling, chúng ta có thể tăng giá trị thời gian chờ mặc định (11 giây có vẻ phù hợp với sự cố ngày hôm qua):
SSLStaplingResponderTimeout 11