Apache-2.2
請仔細檢查我的 SSL 配置。可以嗎?
我是 SSL 新手。我在執行 Apache 2.2.3-65 的 CentOS 5 系統上設置它。它似乎正在工作——可以瀏覽我的網站,並且地址欄中會顯示 https 協議。
這是我的 SSL 虛擬主機配置。它看起來好嗎?我有沒有犯任何重大錯誤?
目的是加密此特定站點的所有流量,因此埠 80 沒有虛擬主機,只有這個。
<VirtualHost *:443> ServerName www.mydomain.com ServerAlias mydomain.com DocumentRoot "/opt/deployed_rails_apps/my_app/current/public" SSLEngine on SSLCertificateFile /etc/pki/tls/certs/www.mydomain.com.crt SSLCertificateKeyFile /etc/pki/tls/certs/www.mydomain.com.pem SSLCACertificateFile /etc/pki/tls/certs/www.mydomain.com.ca-bundle ErrorLog "logs/mydomain.com-ssl-error_log" CustomLog "logs/mydomain.com-ssl-access_log" common CustomLog "logs/mydomain.com-ssl-deflate_log" deflate <Directory "/opt/deployed_rails_apps/rock_pebble/current/public"> Options -MultiViews FollowSymLinks AllowOverride None Order allow,deny Allow from all </Directory> </Virtualhost>
這肯定會奏效。但是,為了更好的安全性,您應該包括以下幾個選項:
SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH SSLProtocol all -SSLv2 Header add Strict-Transport-Security "max-age=15768000"
您還應該根據SSL Pulse檢查您的伺服器安全性並查看他們的SSL 最佳實踐指南。還有一個SSL 評級指南解釋了為什麼這些選項是一個好主意。
看起來不錯,但
ServerAlias
除非您的證書適用於“www.example.com”和“example.com”,否則請刪除該指令。