Apache - Aktiver Perfect Forward Secrecy

For at aktivere Perfect Forward Secrecy for Apache webserver 2.4 og højere, er det nødvendig at tilpasse konfigurationen, så de rigtige cipher suites tilbydes.

Apache konfiguration

Følgende justeringer foretages i konfigurationen af det websted, for hvilket SSL protokollen er aktiveret. Konfigurationsfilerne er normalt gemt i /etc/apache2/sites-enabled/. Med nedenstående regler angiver vi, at der ikke gøres brug af SSLv2 og SSLv3, og at webbrowseren skal respektere de tilbudte ciphers.

<VirtualHost *:443>
...
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
...
</VirtualHost>

Nu kan du bruge parameteren SSLCipherSuite til at angive, hvilke cipher suites vi vil bruge. Brug cipher suites nedenfor som base, RC4 udelukker vi på grund af de sårbarheder, der findes i den.

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES128-SHA
DHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA256
DHE-RSA-AES256-SHA256
EDH-RSA-DES-CBC3-SHA

Notationen i Apache-konfigurationen indeholder et kolon mellem hver cipher suite;

SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-EC...

Apache webserver test

Når du har set parametrene i konfigurationen af webstedet, kan du teste dem med følgende kommando:

apachectl configtest

Apache webserver nystart

Hvis der ikke rapporteres om fejl, kan Apache webserver genstartes med følgende kommando:

apachectl graceful