Cấu hình Apache để Qualys SSL Labs xếp hạng A
Thịnh Văn Hạnh 15/02/2023 1288 Lượt xem Chia sẻ bài viết
Sự có mặt của chứng chỉ SSL trên các hệ điều hành hoặc web server đảm bảo cho mọi thông tin được mã hóa và khiến khách hàng yên tâm hơn khi truy cập. Nhưng chỉ mỗi chứng chỉ SSL thôi là chưa đủ, bạn sẽ cần phải biết kỹ thuật cài đặt sao cho mọi thứ tối ưu nhất. Bài viết này sẽ giúp bạn cách cấu hình Apache để Qualys SSL Labs xếp hạng A, cùng BKNS theo dõi ngay bên dưới.
Lưu ý: Các tiêu chuẩn đánh giá của Qualys SSL Labs thay đổi theo thời gian, do đó bài viết này cũng sẽ được cập nhật thường xuyên.
Tóm Tắt Bài Viết
SSL Labs là gì?
SSL Labs là một trong những công cụ được sử dụng nhiều nhất để quét máy chủ web SSL. Nó cung cấp phân tích chuyên sâu về URL https của bạn bao gồm ngày hết hạn, xếp hạng tổng thể, Mật mã, phiên bản SSL / TLS, chi tiết giao thức, BEAST và nhiều hơn nữa.
Để Qualys SSL Labs xếp hạng A, bạn cần phải cập nhật cấu hình của Apache thỏa mãn một số tiêu chí nhất định. Bạn có thể tham khảo dưới đây để thực hiện cập nhật cho máy chủ của mình.
Cách cấu hình Apache để Qualys SSL Labs xếp hạng A
1. Chỉ hỗ trợ TLS 1.0, TLS 1.1 và TLS 1.2, vô hiệu hóa SSL 2.0 và SSL 3.0
Bạn cần phải nâng cấp phiên bản OpenSSL lên phiên bản mới nhất không bị vướng lỗ hổng bảo mật và hỗ trợ TLS 1.2 và TLS 1.2. Ví dụ: các phiên bản 0.9.x và 1.0.0 trở về trước không hỗ trợ TLS 1.2.
Sau khi nâng cấp OpenSSL, bạn cần phải build lại hoặc nâng cấp Apache lên phiên bản mới nhất. Kể từ phiên bản 2.2.x trở lên, Apache đã hỗ trợ TLS 1.2.
Để vô hiệu hóa SSL 2.0, SSL 3.0 và chỉ hỗ trợ TLS 1.0, TLS 1.1 và TLS 1.2, bạn cần chỉnh lại tham số sau:
SSLProtocol All -SSLv2 -SSLv3
2. Poodle and TLS-FALLBACK-SCSV
SSL 3.0 là nguyên nhân quan trọng nhất gây ra lỗ hổng Poodle. Bằng cách vô hiệu hóa SSL 3.0, bạn đã khắc phục lỗ hổng Poodle cho máy chủ.
Để vô hiệu hóa lỗ hổng “protocol downgrade attack”, extension TLS FALLBACK SCSV phải được kích hoạt trong OpenSSL. Các phiên bản sau đây đã bao gồm extension này:
- OpenSSL 1.0.1j hoặc cao hơn
- OpenSSL 1.0.0o hoặc cao hơn
- OpenSSL 0.9.8zc hoặc cao hơn
3. Heartbleed
Lỗ hổng Heartbleed là một lỗ hổng khá nghiêm trọng, có thể ảnh hưởng đến mọi máy chủ sử dụng thư viện OpenSSL. Để khắc phục lỗi này, cách duy nhất là bạn phải kiểm tra phiên bản OpenSSL đang sử dụng và nâng cấp nếu nằm trong danh sách sau đây:
- OpenSSL 1.0.1 đến 1.0.1f bị ảnh hưởng
- OpenSSL 1.0.1g không bị ảnh hưởng
- OpenSSL 1.0.0 không bị ảnh hưởng
- OpenSSL 0.9.8 không bị ảnh hưởng
4. Cipher suites
Luôn luôn áp dụng các cipher suites an toàn nhất và yêu cầu server lựa chọn ưu tiên theo thứ tự mà bạn đã thiết lập.
SSLHonorCipherOrder on
SSLCipherSuite “EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4”
5. Strong DH (Diffie-Hellman)
Bạn cần nâng cấp Apache lên 2.4.8 và OpenSSL 1.0.2 để hỗ trợ tính năng này.
Chạy lệnh:
openssl dhparam -out /usr/local/ssl/dhparams.pem 2048
Bổ sung dòng sau đây vào file cấu hình:
SSLOpenSSLConfCmd DHParameters “/usr/local/ssl/dhparams.pem”
Đến đây là bạn đã hoàn thành quá trình cấu hình Apache để tối ưu Qualys SSL Labs. Bằng những thao tác đơn giản này, bạn có thể tăng cường điểm xếp hạng tối ưu các tiêu chí.
Mua chứng chỉ SSL, đừng bỏ lỡ BKNS
Là thương hiệu cung cấp các chứng chỉ SSL và giải pháp mạng đã có kinh nghiệm trên 10 năm trên thị trường, BKNS là địa chỉ uy tín đem đến cho bạn chất lượng dịch vụ uy tín và được kiểm chứng thông qua hàng trăm đối tác khách hàng trước đó.
BKNS cung cấp các chứng chỉ SSL đa dạng về: mức giá, nhãn hiệu cung cấp, tính năng bảo vệ,…
Liệt kê một số nhãn hiệu tiêu biểu:
- Thawte: chứng chỉ SSL đẳng cấp thế giới với độ nhận diện hơn 50 quốc gia.
- Symantec: công ty hàng đầu thế giới cung cấp SSL hội tụ các chuyên gia hàng đầu.
- Sectigo: thương hiệu với nhiều chứng chỉ chất lượng đa dạng tính năng.
- DigiCert: nổi tiếng với mức bảo hiểm hào phóng và chế độ chăm sóc khách hàng chu đáo nhất.
Hoặc tham khảo toàn bộ Chứng chỉ SSL giá rẻ của BKNS.
Kết luận
Để tối ưu chứng chỉ SSL trên Qualys SSL Labs nhằm để nó xếp hạng A không khó, bạn chỉ cần thực hiện một số thao tác đơn giản. BKNS chúc bạn thao tác thành công. Nếu còn bất kì vấn đề gì, để lại bình luận hoặc liên hệ BKNS để được hỗ trợ nhanh nhất.
Đọc thêm các bài viết khác tại BKNS.