常見問題
[其他問題]HTTPS檢測 Apache修正說明(CentOS 7)
HTTPS狀態:
- 安裝mod_ssl及openssl
- yum install mod_ssl openssl
- 重啟apache服務:
- sudo service httpd restart
- 上傳憑證、中繼憑證及私鑰至伺服器
- 編輯 /etc/httpd/conf.d/ssl.conf 並於 <VirtualHost _default_:443> 標籤內加上(或修改)以下四行
- SSLEngine on
SSLCertificateFile /yourpath/cert.pem
SSLCertificateKeyFile /yourpath/privkey.pem
SSLCertificateChainFile /yourpath/chain.pem
- SSLEngine on
- 重啟apache服務:
- sudo service httpd restart
HTTPS重導向:
- 編輯 /etc/httpd/conf/httpd.conf 於 <VirtualHost *:80> 標籤內加上三行:
- RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://yourdomain.edu.tw %{REQUEST_URI} [R=301,L]
- RewriteEngine on
- 重啟apache服務:
- sudo service httpd restart
HSTS:
- 編輯 /etc/httpd/conf.modules.d/00-base.conf 如果沒有下面這一行就把它加上去:
- LoadModule headers_module modules/mod_headers.so
- 重啟apache服務:
- sudo service httpd restart
- 編輯 /etc/httpd/conf/httpd.conf 於 <VirtualHost> 標籤內加上一行:
- LoadModule headers_module modules/mod_headers.so
- 編輯 /etc/httpd/conf.d/ssl.conf 同樣於 <VirtualHost> 標籤內加上一行:
- LoadModule headers_module modules/mod_headers.so
- 重啟apache服務:
- sudo service httpd restart
TLS版本:
- 編輯 /etc/httpd/conf.d/ssl.conf 加上(或修改)一行:
- SSLProtocol all -SSLv3 -TLSv1 -TLSv1
- 重啟apache服務:
- sudo service httpd restart
加密演算法:
- 編輯 /etc/httpd/conf.d/ssl.conf 加上(或修改)一行:
- SSLCipherSuite AES256+EECDH:AES256+EDH:AES128+EECDH:AES128+EDH
- 重啟apache服務:
- sudo service httpd restart
SECURE RENEGOTIATION:
- 將OpenSSL 更新至 0.9.8m 版本以上
Certificate:
本項檢查網站所使用之憑證是否符合規範,未符合規範者請自行更換符合規範之憑證。
- trust chain of certificate
- 網站使用可信CA,可使用免費SSL憑證,如非營利組織網路安全研究小組( ISRG) 營運的Let’s Encrypt 憑證。
- public key of certificate
- 金鑰長度2048位元
- signature of certificate
- 使用SHA256以上雜湊演算法
- domain name on certificate
- 使用的憑證網址與網站網址一致
- 或使用Wildcard SSL 憑證
回上頁