检测网站:https://myssl.com/
先正确的去配置SSL,这个相对比较简单,只需要按要求配置正确的证书即可,这里就不过多说了。
配置完后,我们还需要去开启HTTP/2
Apache主要依赖于OpenSSL支持,请更新至最新的openssl版本,apache2.4+支持TLS1.2协议
SSLEngine on SSLCertificateFile /server.crt SSLCertificateKeyFile /server.key # HSTS 必须开启 mod_headers模块 Header always set Strict-Transport-Security "max-age=15768000" #禁用 SSLV3 SSLV2不安全的协议 SSLProtocol all -SSLv3 -SSLv2 #优化加密算法 SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH #允许加密算法排序 SSLHonorCipherOrder on SSLCompression off SSLSessionTickets off # OCSP Stapling, httpd 2.3.3之后的版本支持 SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
#apache 2.4.8 /openssl 1.0.2 之后才支持 DHParams SSLOpenSSLConfCmd DHParameters "dhparams.pem"
配置完后,就能够达到A级,想要达到A+,还需要配置HSTS
而配置这个很简单,只需要这样:
httpd.conf中开启: LoadModule headers_module modules/mod_headers.so 域名conf配置中插入: Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" |
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload",加入到对应位置即可
声明:如转载,请注明本文链接,谢谢合作。
封面图来自Pixabay,基于CC0协议 最后编辑于 2021-04-11

发表评论
*
已有 0 人参与评论