常見問題
[其他問題]HTTPS檢測 Apache修正說明(Ubuntu20.04)
HTTPS狀態:
- 啟用ssl模組:
- sudo a2enmod ssl
- 重啟apache服務:
- sudo service apache2 restart
- 上傳憑證、中繼憑證及私鑰至伺服器
- 編輯 /etc/apache2/sites-available/default-ssl.conf 並於 <VirtualHost _default_:443> 標籤內加上(或修改)以下四行
- SSLEngine on
SSLCertificateFile /yourpath/cert.pem
SSLCertificateKeyFile /yourpath/privkey.pem
SSLCertificateChainFile /yourpath/chain.pem
- SSLEngine on
- 重啟apache服務:
- sudo service apache2 restart
- sudo service apache2 restart
HTTPS重導向:
- 編輯 /etc/apache2/sites-enabled/000-default.conf 於 <VirtualHost *:80> 標籤內加上三行:
- RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://yourdomain.edu.tw%{REQUEST_URI} [R=301,L]
- RewriteEngine on
- 重啟apache服務:
- sudo service apache2 restart
HSTS:
- 啟動a2enmod headers並重起apache服務:
- sudo a2enmod headers
- sudo service apache2 restart
- 編輯 /etc/apache2/conf-available/security.conf 加上一行:
- Header always set Strict-Transport-Security "max-age=31536000;includeSubdomains; preload"
- 重新載入設定
- sudo service apache2 reload
TLS版本:
- 編輯 /etc/apache2/sites-enabled/default-ssl.conf 加上(或修改)一行:
- SSLProtocol TLSv1.2 TLSv1.3
- 重啟apache服務:
- sudo service apache2 restart
加密演算法:
- 編輯 /etc/apache2/sites-enabled/default-ssl.conf 加上(或修改)一行:
- SSLCipherSuite AES256+EECDH:AES256+EDH:AES128+EECDH:AES128+EDH
- 重啟apache服務:
- sudo service apache2 restart
SECURE RENEGOTIATION:
- 將OpenSSL 更新至 0.9.8m 版本以上
Certificate:
本項檢查網站所使用之憑證是否符合規範,未符合規範者請自行更換符合規範之憑證。
- trust chain of certificate
- 網站使用可信CA,可使用免費SSL憑證,如非營利組織網路安全研究小組( ISRG) 營運的Let’s Encrypt 憑證。
- public key of certificate
- 金鑰長度2048位元
- signature of certificate
- 使用SHA256以上雜湊演算法
- domain name on certificate
- 使用的憑證網址與網站網址一致
- 或使用Wildcard SSL 憑證