【发布时间】:2013-06-22 22:05:27
【问题描述】:
警告:请仅使用以下答案中的 Apache 配置建议。使用哪些密码 - 安全规范会随着时间而变化,以下一些安全建议已经过时。
在最近发生的事件之后,我一直在重新考虑我的 Apache 设置。目前,我的 apache 站点配置如下所示:
<IfModule mod_ssl.c>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://example.com
</VirtualHost>
<VirtualHost *:443>
ServerAdmin webmaster@localhost
ServerName example.com
DocumentRoot /var/www-wordpress
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www-wordpress>
Options Indexes FollowSymLinks MultiViews
AllowOverride FileInfo
Order allow,deny
allow from all
</Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined
SSLCertificateFile /etc/ssl/certs/example.com.crt
SSLCertificateKeyFile /etc/ssl/private/example.com.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
我必须做些什么来支持完美的前向保密?如何默认启用 SSL 完美前向保密?我怎么能强制执行?
【问题讨论】:
-
+1。我认为很难获得良好的配置,因为 SSLv3 / TLS v1 容易受到 BEAST 的攻击,这意味着您应该选择弱 RC4 而不是任何基于 CBC 的密码(如 AES)。使用 TLS v1.1 或 v1.2、OTOH 时,最好使用更强的密码,如 AES。 AFAIK,Apache 不允许您根据协议版本有条件地选择密码。浏览器对 TLS v1.1+ 的支持仍然很弱(Firefox 还没有。)密码业务与在密钥交换中具有完美的前向保密性是正交的(我认为),但希望看到一个可以接受它的配置都考虑在内。
-
DHE 和 ECDH 密钥交换提供完美的前向保密。几乎所有浏览器都支持 DHE,而 ECDH 至少需要 TLSv1.1 和相当现代的浏览器。但是,与普通 RSA 密钥交换相比,DHE 密钥交换大约为 three times slower。
-
请注意“在最近发生的事件之后”如何始终保持最新状态。
-
Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了,因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Web Applications Stack Exchange、Webmaster Stack Exchange 或Unix & Linux Stack Exchange 会是一个更好的提问地点。
标签: apache ssl cryptography