Apache 2 hỗ trợ SSL/TLS: Hướng dẫn từng bước (Phần II)

Trong phần đầu tiên của loạt bài này, các bạn đã được hướng dẫn cách cài đặt,mềm Apache 2.0 hỗ trợ SSL/TLS. Bây giờ, phần hai sẽ tiếp tục thảo luận vấn đ để đạt được mức an toàn cao nhất và sự thực thi tối ưu. Đồng thời các bạn cũn thế nào để tạo ra một Quyền hạn chứng chỉ (Certification Authority) nội bộ và trên thư viện nguồn mở OpenSSL.
Nội dung trích xuất từ tài liệu:
Apache 2 hỗ trợ SSL/TLS: Hướng dẫn từng bước (Phần II) Apache 2 hỗ trợSSL/TLS: Hướng dẫntừng bước (Phần II)Phần IITrong phần đầu tiên của loạt bài này, các bạn đã được hướng dẫn cách cài đặt,mềm Apache 2.0 hỗ trợ SSL/TLS. Bây giờ, phần hai sẽ tiếp tục thảo luận vấn đđể đạt được mức an toàn cao nhất và sự thực thi tối ưu. Đồng thời các bạn cũnthế nào để tạo ra một Quyền hạn chứng chỉ (Certification Authority) nội bộ vàtrên thư viện nguồn mở OpenSSL.Những yêu cầu thiết lập cho mod_sslTrong Apache 2.0.52 có hơn 30 hướng dẫn có thể dùng để cấu hình mod_ssl. Bhướng dẫn này có thể tìm thấy trong Apaches mod_ssl documentation. Phần nyêu cầu thiết lập để nâng cao độ an toàn và sự thực thi của kết nối SSL/TLS.Danh sách các thiết lập này được chỉ ra trong bảng dưới đây:Chỉ thị Các yêu cầu thiết lập hoặc chú thích Phải đặt ở chế độ cho phép, nếu khônSSLEngine trạm ảo) sẽ không dùng SSL/TLS đượ Phải đặt ở chế độ cho phép, nếu khônSSLRequireSSL cập nội dung web qua các yêu cầu HT không cần chút gì tới SSL/TLS.SSLProtocol Nên thiết lập chế độ chỉ dùng TLS v1 các web browser hiện nay đểu hỗ trợ cSSLProxyProtocol thể vô hiệu hoá SSL v2.0 một cách an Để tạo ra phương thức mã hoá mạnh, HIGH (>168 bits) và MEDIUM (128SSLCipherSuite bits) và NULL (không mã hoá) đặt bộ vô hiệu hoá. Nên vô hiệu hoá tất cả cáSSLProxyCipherSuite dạng nặc danh (aNULL). Nhưng cũng ta muốn hỗ trợ cho web browser mà k dùng bộ mã hoá EXPORT (56 bit và 4 chúng ta nên dùng SHA1 hơn là MD5 an toàn hơn MD5, sau khi phát hiện ra Tóm lại, các thiết lập cần thiết nên là: HIGH:MEDIUM:!aNULL:+SHA1:+M Chú ý: có thể xem các thiết lập hỗ trợ openssl ciphers -v HIGH:MEDIUM:!aNULL:+SHA1:+ Tuỳ chọn +StrictRequire nên được tSSLOptions Satisfy Any có thể ép mod_ssl cho p web ngay cả khi SSL/TLS không đượ Để khởi động Apache nên cài đặt để sSSLRandomSeed giả (/dev/urandom) và/hoặc EGD (En Daemon). Trước khi mỗi kết nối SSL cấu hình lại để dùng nguồn được cài đ EGD. Không nên dùng /dev/random t Bởi vì /dev/random chỉ có thể cung cấ thời điểm nhất định nào đó. Để tránh lặp lại các “bắt tay” SSL cho song (ví dụ khi web browser tải nhiềuSSLSessionCache khoảng thời gian), SSL caching nên đ để dùng bộ nhớ chia sẻ (SHM), hoặc D none, thực thi của web server có thể Giá trị này mô tả số giây thời gian sau SSLSessionCache hết hiệu lực. Nó nê 600 giây. Tuy nhiên thời gian thực phSSLSessionCacheTimeout trung bình người dùng sử dụng trong server. Ví dụ nếu thời gian trung bình trị thiết lập nên ít nhất là 900 (15 phút Khi không dùng bộ nhận dạng client h này nên đặt ở chế độ “none”. Không bSSLVerifyClient chế độ optional_no_ca. Bởi vì ngượ PKI, những chỗ nào client được nhậnSSLProxyVerify các chứng chỉ phù hợp. “Optional” thỉ thuộc xem là cần hay không), tuy nhiê việc với tất cả các web browser.SSLVerifyDepth Nên là con số lớn nhất của CA trung g chứng chỉ tự kí nên đặt nó là 0, cho cáSSLProxyVerifyDepth bởi Root CA, nên đặt là 1… Nên vô hiệu hoá (đặt ở chế độ disableSSLProxyEngine proxy không được dùng.Bảng 1. Các thiết lập cần thiết cho mod_ssl.Thiết lập mẫu của chúng ta tương ứng với các hướng dẫn trên có thể tìm thấy tSSLEngine onSSLOptions +StrictRequire SSLRequireSSLSSLProtocol -all +TLSv1 +SSLv3# Support only for strong cryptographySSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+M# Support for strong and export cryptography# SSLCipherSuiteHIGH:MEDIUM:EXP:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM:+ESSLRandomSeed startup file:/dev/urandom 1024SSLRandomSeed connect file:/dev/urandom 1024 SSLSessionCache shm:/usr/local/apache2/logs/ssl_cache_shm SSLSessionCach ...