cPanel SSL 安全性調整

昨天在 fb 討論台灣某簡訊發送網站的時候

聊到 ssl

幾個服務的 API 根本沒裝 SSL

有裝的也一堆問題

前同事威爺給了一個好東西

https://www.ssllabs.com/ssltest/

可以測試主機 SSL 的安全性

我也測試了一下我的機器

發現慘不忍睹





某簡訊網站的測試結果也是慘不忍睹
(我比他好我是 B-)



一條一條查了原因跟修改方法後

找到了一個網站

http://www.ericleung.net/howto-enable-perfect-forward-secrecy-pfs-in-cpanel/

他提供了一組設定值

直接設定到 cpanel / apache 的設定中

就搞定了

進 cpanel > Apache Configuration > Include Editor > Pre Main Include > All Versions

輸入這段設定

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK


設定的意思就是把目前認為可靠的協定打開

其他都關掉

然後設定一些目前認為可靠的加密法

(這可能要常常跟安全性議題的才會知道)

儲存後 cpanel 會問你要不要重開 apache (當然要)

然後再跑一次設定

就會發現變成等級 A 了



我本來是要修 Perfect Forward Secrecy 這個項目啦

這個項目沒修好 就是 A-

所以才查到上面那個網站



這些設定跟網站程式寫作沒有關係

所以只要主機設定好

整台主機上的網站就都 "比較安全"

如果沒設定好

就整台都會很慘...