Страница 1 из 1
This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Добавлено: Вт авг 25, 2020 2:32 pm
AlektroNik
Добрый день.
У меня связка Apache + PHP-FPM на CentOS 8.
При тестирование SSL/TLS выдает рейтинг В.
This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
https://www.ssllabs.com/ssltest
Пытался внести изменения в конфиг апача, но сайты не стали принимать эти настройкт.
Код: Выделить всё
# vim /etc/httpd/conf.d/ssl.conf
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
# apachectl -k restart
Тогда прописал каждому виртуальному хосту эти настройки в "Индивидуальная донастройка виртхостов" (:8000/index.php?do=webserver_config) и сайты их приняли.
Вопросы:
1. Подскажите, пожалуйста, как прописать эти настройки для всех сайтов по умолчанию?
2. Может прописать эти настройки изначально в панели при раздаче дистрибутива? Мне кажется хорошая идея )))
Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Добавлено: Вт авг 25, 2020 5:38 pm
sbury
это возможно. добавим в следующем обновлении для 8
Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Добавлено: Вт авг 25, 2020 6:09 pm
AlektroNik
sbury писал(а): ↑Вт авг 25, 2020 5:38 pm
это возможно. добавим в следующем обновлении для 8
Спасибо.
А сейчас Подскажите, пожалуйста, как прописать эти настройки для всех сайтов по умолчанию? Или пока только для каждого в отдельности как я описал выше?
Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Добавлено: Ср авг 26, 2020 10:16 am
sbury
да можно. сделать изменения как в патче /etc/brainy/conf/vhosts/vhosts.tpl
Код: Выделить всё
--- a/vhosts.tpl 2020-08-18 14:43:32.000000000 -0400
+++ b/vhosts.tpl 2020-08-26 06:03:33.569156508 -0400
@@ -67,8 +67,11 @@
{/if}
{/if}
-
{if $ssl==1}
+ SSLProtocol all -SSLv2 -SSLv3
+ SSLHonorCipherOrder on
+ SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
+
Protocols h2 http/1.1
{/if}
{if $portnginxpanel>0}
после чего пересобрать вирт-хосты.
Внимание! Кто не знает что это лучше подождать обновление.
Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Добавлено: Ср авг 26, 2020 10:59 am
AlektroNik
Теперь опять
рейтинг В выставляет ))) Правда теперь за TLS ниже 1.2
This server supports TLS 1.0 and TLS 1.1. Grade capped to B.
Update 1/31/2020: The grade change is now live on
www.ssllabs.com. Servers that support TLS 1.0 or TLS 1.1 are capped to B grade.
https://blog.qualys.com/ssllabs/2018/11 ... -protocols
Странно, что до пересборки хостов почему-то TLS ниже 1.2 были отключены. И наш код до этого отрабатывал на ура.
Можно Вас попросить заменить:
на
А так все работает. Большое спасибо!!!
Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Добавлено: Вс май 02, 2021 4:08 pm
AlektroNik
sbury писал(а): ↑Ср авг 26, 2020 10:16 am
да можно. сделать изменения как в патче /etc/brainy/conf/vhosts/vhosts.tpl
Код: Выделить всё
--- a/vhosts.tpl 2020-08-18 14:43:32.000000000 -0400
+++ b/vhosts.tpl 2020-08-26 06:03:33.569156508 -0400
@@ -67,8 +67,11 @@
{/if}
{/if}
-
{if $ssl==1}
+ SSLProtocol all -SSLv2 -SSLv3
+ SSLHonorCipherOrder on
+ SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
+
Protocols h2 http/1.1
{/if}
{if $portnginxpanel>0}
после чего пересобрать вирт-хосты.
Внимание! Кто не знает что это лучше подождать обновление.
Добрый вечер.
Опять таже проблема.
"This server does not support Forward Secrecy with the reference browsers. Grade capped to B."
В /etc/brainy/conf/vhosts/vhosts.tpl нет указанных строк.
Что-то изменилось? Эти настройки теперь перенесли может быть в какое-то другое место?
Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Добавлено: Пн май 03, 2021 9:46 am
sbury
Сделайте изменения вручную и переберите виртуальные хосты. Или добавьте эти строки вручную в конфиге требуемого виртуального хоста и перезапустите сервис. Это исправило ситуацию?
Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Добавлено: Пн май 03, 2021 9:54 am
AlektroNik
sbury писал(а): ↑Пн май 03, 2021 9:46 am
Сделайте изменения вручную и переберите виртуальные хосты. Или добавьте эти строки вручную в конфиге требуемого виртуального хоста и перезапустите сервис. Это исправило ситуацию?
Да, я просто ручками добавил эти строки в /etc/brainy/conf/vhosts/vhosts.tpl перед строкой "Protocols h2 http/1.1":
Код: Выделить всё
SSLProtocol -ALL +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
потом зашел в дополнительные настройки сайтов :8000/index.php?do=setting_virthost и нажал "Восстановить конфиг по умолчанию".
Мне показалось эта процедура более гуманная чем пересборка хостов.
Получилось перечитать конфиг без перезапуска апача, аналог:
# apachectl configtest
# systemctl reload httpd
# systemctl status httpd
Просто мне казалось эти изменения были внесены уже в основную сборку панели. Или каждый раз после обновления панели нужно править?