Skip to content

Pokročilé nastavení HTTPS

Jump to bottom Edit New page
radiuscz edited this page Feb 12, 2018 · 6 revisions

Otestujte server pomocí tohoto nástroje: https://www.ssllabs.com/ssltest/index.html

Nalezené problémy opravte.

Typicky je vhodné provést tato nastavení:

Zapnout HSTS

Zjednodušeně řečeno to znemožní jakoukoliv nešifrovanou komunikaci se serverem, jak to funguje je celkem dobře popsáno na Wikipedii

Nastavení Apache

Aktivujte modul headers:

a2enmod headers

Do konfiguračního souboru přidejte:

Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains;"

Nastavení nginx

Do konfigurace přidejte:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;" always;

Omezit používané šifry:

Apache

SSLHonorCipherOrder on

SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES

nginx

ssl_prefer_server_ciphers on;

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

Nastavit CAA DNS záznamy

U vašeho správce domény si nastavte v administraci 2 DNS záznamy s těmito parametry:

1. záznam

  • Typ záznamu: CAA
  • Název: vaše doména, např.: koha.cz
  • flags: 0
  • tag: issue
  • value: letsencrypt.org

2. záznam

  • Typ záznamu: CAA
  • Název: vaše doména, např.: koha.cz
  • flags: 0
  • tag: issuewild
  • value: letsencrypt.org

Zapnout session cache

Apache

SSLSessionCache shmcb:/some/example/path/ssl_scache(512000)

nginx

ssl_session_cache shared:ssl_session_cache:10m;

Nastavit parametry pro silné šifrování Diffie-Hellman

Vygenerovat 2048bitové dhparams

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

Použít dhparams.pem

ssl_dhparam /etc/nginx/ssl/dhparam.pem;

Poznámka na závěr

Tato stránka je jen stručný návod, jak s relativně malým úsilím dosáhnout vysokého stupně zabezpečení. Pro podrobnější informace doporučujeme například tento návod.

Pomohl vám tento návod? Sdílejte také své zkušenosti na KohaCZ wiki. Pomůžete ostatním.

| www.koha.cz | www.koha-community.cz |

Add a custom sidebar
Clone this wiki locally