Hodnocení T kvůli použití propadlého certifikátu. |
První oprava byla vrácení správného certifikátu, který byl serveru vydán na jaře, čímž jsem postoupil na hodnocení C (viz obrázek vlevo).
Pohledem do konfigurace Apache jsem zjistil, že je tam implicitní nastavení pro SSLProtocol a SSLCipherSuite. Vydal jsem se proto na nákup na server BetterCrypto.org a oboje nastavil podle jejich doporučení, které najdete hned na první stránce. Hodnocení se zlepšilo, tentokrát jsem dostal A- což není špatné (viz obrázek vpravo).
Dalším krokem bylo přidání parametru "SSLHonorCipherOrder On", čímž jsem si vysloužil hodnocení A. Přidání volby "Header add Strict-Transport-Security "max-age=15768000" pak už hodnocení zůstalo, ale dostal jsem za něj malou pochvalu navíc.
Výsledek pak vypadá v konfiguraci Apache takto (uvnitř sekce definice virtuálního serveru naslouchajícího na portu 443):
SSLEngine on
SSLHonorCipherOrder On
Header add Strict-Transport-Security "max-age=15768000"
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
Poznámka: poslední řádek s SSLCipherSuite je jen jeden a po mezeře následuje řetězec definující ciphery, ve kterém není žádná mezera (jen dvojtečky oddělují jednotlivé položky).
Dalším krokem bude požádání o nový certifikát, který místo SHA1 bude používat ve svém podpisu SHA2. Možná by se dalo nastavení dále vylepšit, ale po tom jsem se od jara zatím nepídil...
Poznámka (13.2.2015): Mimochodem - nejlepší "známky" (F) dosáhl v mé blízkosti web STAGu na TUL Liberec.