akokarev
@akokarev
Начинающий программист

Как настроить HTTPS на Apache/2.4.41 (FreeBSD) на A+?

Ищу рабочий конфиг для веб-сервера Apache24, дающий по тестам Qualys результат A+.
На борту:

- ОС FreeBSD 12.0 Release с последними обновлениями на 8 сентября 2019;
- Apache/2.4.41 (установлен из портов утилитой pkg) с модулем OpenSSL/1.1.1a
- Модули mod-php73-7.3.8, python27-2.7.16_1, python36-3.6.9, wget-1.20.3, curl-7.65.1, mysql80-8.0.16 и прочее - последних версий;

Желательно чтоб работало совместно с Let's Encrypt и утилитой certbot.
Желательно с поддержкой виртуальных хостов.
  • Вопрос задан
  • 86 просмотров
Пригласить эксперта
Ответы на вопрос 4
@dronmaxman
VoIP Administrator
Вот такой конфиг у меня показывает А+. У меня еще автонастройка почты, по этому добавлены autodiscover.
Debian v9
apache2 v2.4.25
PHP v7.3.5

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerAdmin webmaster@domain.ua
        ServerName domain.ua
        ServerAlias www.domain.ua
        DocumentRoot /var/www/domain/domain.ua
        ErrorLog /var/www/log/apache2/domain_ua_error.log
        CustomLog /var/www/log/apache2/domain_ua_access.log combined
        RewriteRule ^(.*)/autodiscover/autodiscover.xml https://mail.domain.ua/autodiscover/autodiscover.xml
        Redirect /Autodiscover/Autodiscover.xml https://mail.domain.ua/autodiscover/autodiscover.xml
    Redirect /autodiscover/autodiscover.xml https://mail.domain.ua/autodiscover/autodiscover.xml
    Redirect /AutoDiscover/AutoDiscover.xml https://mail.domain.ua/autodiscover/autodiscover.xml
        <Directory /var/www/domain/domain.ua>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                Allow from all
                Require all granted
        </Directory>
 ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride All
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn
        SSLEngine on
        SSLCertificateFile /etc/ssl/certs/wildcard-dv-domain-ua.cer
        SSLCertificateKeyFile /etc/ssl/private/wildcard-dv-domain-ua-private.key
        SSLCACertificateFile    /etc/ssl/certs/star_domain_ua.ca-bundle
        SSLProtocol -ALL -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
        SSLHonorCipherOrder on
        SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
        SSLHonorCipherOrder on
        SSLHonorCipherOrder on
        SSLStrictSNIVHostCheck Off
        SSLCompression off
        SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
        Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

     Alias /doc/ "/usr/share/doc/"
     <Directory "/usr/share/doc/">
         Options Indexes MultiViews FollowSymLinks
         AllowOverride All
         Order deny,allow
         Deny from all
         Allow from 127.0.0.0/255.0.0.0 ::1/128
     </Directory>
 </VirtualHost>
</IfModule>
~
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Давайте мыслить "трезво": что Вы сделали, чтобы соответствовать требованиям?
Ответ написан
athacker
@athacker
Qualys же отчёт выдаёт, где все косяки указывает, которые не дают повысить результат теста. Прочитайте, да исправьте, какие проблемы?
Ответ написан
ssl_dhparam
не забываем поставить вопрос решен ;)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы