CentOS Apache 開啟HTTP/2 | 開啟HSTS

摘要

CentOS配置SSL之後，需要進行進步一的安全配置操作。

比如：

SSLProtocol all -SSLv2 -SSLv3

本文講解CentOS 在安裝Apache的環境下，開啟HTTP/2與開啟HSTS的過程。

演示環境

作業系統：CentOS 7.3

容器：Apache

在CentOS部署完成SSL之後，HTTPS連線還不是最安全的，至少是在某些配置方面還是有待欠缺。在CentOS 7.3部署完成SSL之後併成功之後，用vim開啟ssl.conf，找到SSLCipherSuite與SSLHonorCipherOrder

另外SSLCipherSuite 的值修改成為：

HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM

開啟HTTP/2

Apache 開啟HTTP/2，Apache 從httpd 2.4.17開始支援HTTP/2

在CentOS 7.3 使用yum 安裝httpd的預設版本是Apache/2.4.6,並不支援HTTP/2。需要下載最新版本並編譯。

在ssl.conf的 <VirtualHost>. 節點中，新增：

Protocols h2 h2c http/1.1

並重啟Apache。

HTTP/1與HTTP/2對比

開啟HSTS

什麼是HSTS呢？（HTTP Strict Transport Security,縮寫HSTS），保證使用者連線到網站的HTTPS版本，使用者訪問全稱加密。

更多請參考HTTP嚴格傳輸安全

部署的話，首先啟用HSTS的header模組LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so

然後在<VirtualHost>中加入：

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
 

其中這個：max-age至少大於15768000秒。

HTST協議留後講解

重啟Apache。