讓你的HTTPS更安全
阿新 • • 發佈:2022-05-03
CentOS Apache 開啟HTTP/2 | 開啟HSTS
摘要
CentOS配置SSL之後,需要進行進步一的安全配置操作。
比如:
SSLProtocol all -SSLv2 -SSLv3
本文講解CentOS 在安裝Apache的環境下,開啟HTTP/2與開啟HSTS的過程。
演示環境
作業系統:CentOS 7.3
容器:Apache
在CentOS部署完成SSL之後,HTTPS連線還不是最安全的,至少是在某些配置方面還是有待欠缺。在CentOS 7.3部署完成SSL之後併成功之後,用vim開啟ssl.conf,找到SSLCipherSuite與SSLHonorCipherOrder
另外SSLCipherSuite 的值修改成為:
HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
開啟HTTP/2
Apache 開啟HTTP/2,Apache 從httpd 2.4.17開始支援HTTP/2
在CentOS 7.3 使用yum 安裝httpd的預設版本是Apache/2.4.6,並不支援HTTP/2。需要下載最新版本並編譯。
在ssl.conf的 <VirtualHost>
. 節點中,新增:
Protocols h2 h2c http/1.1
並重啟Apache。
HTTP/1與HTTP/2對比
開啟HSTS
什麼是HSTS呢?(HTTP Strict Transport Security,縮寫HSTS),保證使用者連線到網站的HTTPS版本,使用者訪問全稱加密。
更多請參考HTTP嚴格傳輸安全
部署的話,首先啟用HSTS的header模組LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so
然後在<VirtualHost>中加入:
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
其中這個:max-age至少大於15768000秒。
HTST協議留後講解
重啟Apache。