如何在 SSL Labs 上獲得 A+ 等級分數

 Qualys SSL Labs 可以檢測網站的HTTPS配置和評分級別,藉由等級區分,讓管理者清楚地了解網站在安全性上是否有需要改善或提升的地方,好讓網站更加安全、可靠與被信任。


XAMPP Apache 在設定完 SSL 憑證後,到 SSL Labs 去做掃描,卻只拿到 B 等級



以下示範如何獲得 A+ 等級

$ sudo vi /opt/lampp/etc/extra/httpd-ssl.conf

將下行註解掉
# SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5


然後新增以下:


# - Try ciphers in the order listed. Try the strongest ciphers first until a compatible one is found.
SSLHonorCipherOrder on

# - Allow only strong TLS
SSLProtocol -ALL +TLSv1.2 +TLSv1.3

# - TLSv1.3 Settings
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384

# - TLSv1.2 Settings
SSLCipherSuite TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:PSK-CHACHA20-POLY1305:ECDHE-PSK-CHACHA20-POLY1305:DHE-PSK-CHACHA20-POLY1305:RSA-PSK-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DH-RSA-AES256-GCM-SHA384:DHE-DSS-AES256-GCM-SHA384:DH-DSS-AES256-GCM-SHA384:ADH-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDH-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-CCM8:DHE-RSA-AES256-CCM:PSK-AES256-CCM:DHE-PSK-AES256-CCM:PSK-AES256-CCM8:DHE-PSK-AES256-CCM8:ECDHE-ECDSA-AES256-CCM:ECDHE-ECDSA-AES256-CCM8

# - Preferred Elliptic Curve
SSLOpenSSLConfCmd ECDHParameters brainpoolP512r1

# - Other accepted Elliptic Curve
SSLOpenSSLConfCmd Curves brainpoolP512r1:sect571r1:secp521r1:secp384r1

# - HTTP Strict Transport Security Header.
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomainsi; preload"

# - Set a same origin policy
Header always set X-Frame-Options SAMEORIGIN

# - Rewrite any session cookies to make them more secure
# - Make ALL cookies created by this server are HttpOnly and Secure Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

#Prevent browsers doing MIME Type sniffing.
Header always set X-Content-Type-Options nosniff



儲存後,重新啟動 /opt/lampp/xampp restart


再到 ssllab 進行測試,就可以得到 A+ 的結果,如下圖:


由於SSL設定較嚴謹,所以 XP 系統的 IE 8 瀏覽器(不支援TLS 1.1)會無法顯示網頁,還好可以另外安裝 Chrome for XP 平台的最後一版49.0版,就能正常顯示網頁,這也是解套的方式。


後記:原來 XP IE 8 也可以開啟 TLS 1.1/1.2 但是我測試完後,還是無法瀏覽SSL A+的網站,有興趣的人不訪可以試試以下連結:

Enable TLS 1.2 Encryption on Windows XP/2008/7/Windows 2008 R2


留言

張貼留言

這個網誌中的熱門文章

VMware ESXi OVF Tool 指令模式 匯出、匯入 OVA

圖片
新版本的ESXi 6.7 在Web UI上,使用【匯出】,結果只會產生2個怪檔案,其中重要的VMDK檔案竟然只占用100 MB 左右,不合乎常理,所以只好用以下指令方法,來做匯出匯入動作 指令模式 匯出 OVA: 使用指令模式需要到 VMWare 官網下載 VMware Open Virtualization Format Tool 4.3.0 https://www.vmware.com/support/developer/ovf/ 下載安裝後,開啟一個<命令提示字元>視窗,並切換路徑到 VMWare Tool 安裝目錄下: C:\> cd "C:\Program Files\VMware\VMware OVF Tool\" 執行匯出指令: ovftool --noSSLVerify vi://root@10.1.1.136/Win_7_x86 D:\Win_7_x86.ova 請注意:匯出時, guest os 必須 shutdown 狀態 指令模式 匯入 OVA: ovftool -dm=thin d:\win_7_x86.ova vi://root@10.1.2.150
閱讀完整內容

軛瓣蘭 (Zygopetalum) 種植日記

圖片
植物名稱 軛瓣蘭屬    ( Zygopetalum ) 別名 紫香蘭 類型 多年生,附生植物 成熟尺寸 高 30-60 公分 陽光照射 部分,夏日需遮陰 花期 每年最多 4 次,每次壽命3~4週,花朵有香味 溫度 10度到25度 花色 紫色、綠色、白色、藍色 原產地 熱帶南美洲 軛瓣蘭是一種原產於南美洲熱帶雨林的蘭花。花朵非常芳香,通過適當的養護,這些堅固的蘭花每年最多開花四次,持續三到四周。花的大小為5至10公分,呈紫色,綠色和白色,花瓣和嘴唇有斑點和圖案。一些雜交種會產生帶有藍色陰影的花朵;一種被認為對蘭花來說罕見的顏色。 軛瓣蘭是附生植物,是植物在其它活體植物上面生長或是依附的現象,其水分及養分由環境中取得而非由被附著的活體植物取得,但一般的軛瓣蘭屬類型也可以種植在淺盆中生長。具有細長的淺綠色葉子和來自假鱗莖的花穗。這些是莖的增厚區域,軛瓣蘭上的莖和假鱗莖很脆弱,需要輕柔處理以避免斷裂。 光線 軛瓣蘭需要明亮的過濾光才能開花。提供某種類型的部分陰影將有助於避免在嫩葉和假鱗莖上曬傷和棕色斑點。使用遮光網或將植物放在接收強光而不直接暴露在陽光下的窗戶附近。 介質 像所有蘭花一樣,軛瓣蘭不耐受潮濕的介質。附生蘭花通過空氣根吸收水分和營養,因此持續潮濕的生長介質會導致根腐病和真菌感染。 這些蘭花喜歡微酸性介質,在籃子或淺盆中表現良好,使用含有20%珍珠岩的細蘭花皮。粗泥炭、沙子和紅木樹皮可以提高保濕性,澆水後仍能充分排水。 水 蘭花的頻繁開花可以通過更頻繁的澆水來鼓勵,在整個生長季節每兩天一次。當花朵下降時,澆水可以減少到每週一次。這是一種蘭花,開花後不會完全休眠,因此其生長季節將取決於您提供的條件。 在溫帶氣候中,冬季應減少用水量,以提供休息時間。這種植物對自來水中的鹽和礦物質也很敏感,因此最好在室溫下使用過濾或蒸餾水。 溫度和濕度 最佳溫度在白天為21至24度,在夜間為10度。在山地雨林中自然生長的類型,在夜間溫度甚至略低(約10至12度)下表現最佳。如果不澆水並保持植物乾燥,可以在冬季10度以下存活。 夏季最佳濕度水準在60%至70%之間。早上霧化你的蘭花,以幫助葉子在夜幕降臨之前乾燥。潮濕的葉子會導致莖稈脫落和花朵損失。開花時避免起霧,以阻止灰黴病花瓣枯萎病。 良好的空氣流通對蘭花的健康也很重要。稍微打開的窗戶或風扇可以保持空氣在周圍流動但不應直接吹在植株上
閱讀完整內容

ETF 月月配息組合

圖片
繼去年ETF季配息的 2種組合 後,今年即將要新上市的ETF,開始主打月月配9%,且配息時間還區分成月初、月中、月底,幾乎可以說是週週領息,對存股族來說真是一大福音,下圖是股魚整理的表格: 股票債劵的組合比較適合存退休金用,且想每檔不超過2萬元的話(避開二代健保補充保費),那麼可以這樣搭配:                                                                名稱 張數 收盤價 所需資金 配息時間 保管銀行 00937B 群益ESG投等債20+ 250張 16 400萬 月中 彰化銀行 00939 統一台灣高息動能 180張 15 270萬 月底 華南銀行 00940 元大臺灣價值高息 266張 10 266萬 月初 華南銀行 由於每個月配息入金銀行,如果不是指定的保管銀行,會扣10元匯費,這對月領是很傷的,所以需要線上申請變更到華南SnY(活存2.3%)及彰銀e財寶(活存1.2%)數位帳戶上,這樣還可以繼續享有數位活存高利息,等累積一定配息金額後,再透過APP免費轉帳到交割帳戶內去買股。 以下列出成分股及權重調整的月份:                                                                     名稱 成分股調整 權重調整 0056 元大高股息 6、12月 6、12月 00878 國泰永續高股息 5、11月 5、11月 00713 元大高息低波 6、12月 6、12月 00919 群益台灣精選高息 5、12月 5、12月 00939 統一台灣高息動能 5月 1、9月 00940 元大臺灣價值高息 5、11月 5、11月
閱讀完整內容