Συγκεκριμένα, ποια είναι η πιο ασφαλής ρύθμιση του apache για ssl;
Έχω απενεργοποιήσει το TLSv1 και το SSLv2, πρέπει να κάνω και κάτι άλλο;
Επίσης, διάβασα ότι το RC4 δεν είναι ασφαλές πλέον. Αληθεύει;
Μήπως κάποιος ξέρει ποια "cipher suites" να χρησιμοποιήσω στο "SSLCipherSuite";
- Κώδικας: Επιλογή όλων
SSLEngine on
#StartSSL configuration
SSLProtocol all -SSLv2 -TLSv1
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
SSLCompression off # disallow for this vhost
SSLCertificateFile /etc/ssl/ssl.crt
SSLCertificateKeyFile /etc/ssl/ssl.key
SSLCertificateChainFile /etc/ssl/sub.class1.server.ca.pem
SSLCACertificateFile /etc/ssl/ca.pem
Το ssl είναι class 1 από το http://www.startssl.com αν έχει σημασία.
Edit:
Φαίνεται πως αυτή η ρύθμιση δουλεύει:
- Κώδικας: Επιλογή όλων
SSLEngine on
SSLCompression off # disallow for this vhost
SSLHonorCipherOrder On
SSLProtocol all -SSLv2 -TLSv1
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
SSLCertificateFile /etc/ssl/ssl.crt
SSLCertificateKeyFile /etc/ssl/ssl.key
SSLCertificateChainFile /etc/ssl/sub.class1.server.ca.pem
SSLCACertificateFile /etc/ssl/ca.pem
Μήπως γνωρίζει κάποιος αν είναι εντάξει αυτή η ρύθμιση; Και αν υποστηρίζεται από τους κοινούς browsers (chrome/ium, IE, mozilla firefox, opera);
Μπορείτε να ελέγξετε το ssl του δικού σας server με το testsslserver.jar: http://www.bolet.org/TestSSLServer/
- Κώδικας: Επιλογή όλων
wget http://www.bolet.org/TestSSLServer/TestSSLServer.jar
java -jar TestSSLServer.jar oserversas.gr 443