cPanel SSL 安全性調整

未分類
昨天在 fb 討論台灣某簡訊發送網站的時候



聊到 ssl



幾個服務的 API 根本沒裝 SSL



有裝的也一堆問題



前同事威爺給了一個好東西



https://www.ssllabs.com/ssltest/



可以測試主機 SSL 的安全性



我也測試了一下我的機器



發現慘不忍睹











某簡訊網站的測試結果也是慘不忍睹

(我比他好我是 B-)







一條一條查了原因跟修改方法後



找到了一個網站



http://www.ericleung.net/howto-enable-perfect-forward-secrecy-pfs-in-cpanel/



他提供了一組設定值



直接設定到 cpanel / apache 的設定中



就搞定了



進 cpanel > Apache Configuration > Include Editor > Pre Main Include > All Versions



輸入這段設定



SSLHonorCipherOrder On

SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK





設定的意思就是把目前認為可靠的協定打開



其他都關掉



然後設定一些目前認為可靠的加密法



(這可能要常常跟安全性議題的才會知道)



儲存後 cpanel 會問你要不要重開 apache (當然要)



然後再跑一次設定



就會發現變成等級 A 了







我本來是要修 Perfect Forward Secrecy 這個項目啦



這個項目沒修好 就是 A-



所以才查到上面那個網站







這些設定跟網站程式寫作沒有關係



所以只要主機設定好



整台主機上的網站就都 "比較安全"



如果沒設定好



就整台都會很慘...