Αφού εγκαταστήσουμε πιστοποιητικό SSL από το Let’s Encrypt, ελέγχουμε την ποιότητα του certificate στο site της Qualys.
Αν η τελική βαθμολογία που πάρουμε είναι B εξαιτίας του σφάλματος «The server does not support Forward Secrecy with the reference browsers» τότε ακολουθούμε τα παρακάτω βήματα για να πάρουμε A rating.
Στο αρχείο /etc/apache2/apache2.conf
προσθέτουμε τις εξής γραμμές:
1 2 3 |
SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4" |
Κάνουμε επανεκκίνηση του server με:
1 |
service apache2 restart |
Και κάνουμε ξανά έλεγχο του certificate. Αυτή τη φορά το SSL Labs θα πρέπει να μας δώσει «A rating».
Σημείωση: Υπάρχει ενδεχόμενο αφού λύσουμε το πρόβλημα με το forward secrecy, να πάρουμε πάλι B rating εξαιτίας του σφάλματος «This server accepts RC4 cipher, but only with older protocols. Grade capped to B.» Γι’αυτό στον παραπάνω κώδικα προσθέσαμε το !RC4
που λύνει αυτό το πρόβλημα.