In diesem Tutorial werden wir die Konfiguration in CWP vornehmen, damit wir das SSL A+ Score Rating in SSLLabs – Qualys erhalten. Auf vielfachen Wunsch der Besucher und Mitglieder poste ich dieses einfache Tutorial. Diese Anleitung wird Ihnen helfen, A+ ssl rating in ssl labs Qualys zu erreichen, so dass Sie ein hohes Maß an ssl-Sicherheit erhalten, sowie die Sicherheit Ihres IT/eCommerce-Geschäfts verbessern und das Vertrauen und die Loyalität Ihrer Kunden aufbauen.
Bitte unterstützt meine Arbeit
FÜR NGINX (proxy/main/fpm) :
Schritt 1 :
Lade diese Datei auf deinen Server runter :
cd /usr/local/cwpsrv/htdocs/resources/conf/web_servers/vhosts
wget --no-cache https://www.painkiller-tech.com/Daten/nginx-Aplus.zip
unzip -o nginx-Aplus.zip
rm -rf nginx-Aplus.zip
Schritt 2 :
Ändere die SSL Protokolle auf nur TLS 1.2 :
sed -r -i 's/\b(TLSv1 |TLSv1.1 )\b//g' /etc/nginx/nginx.conf /etc/nginx/conf.d/*.conf /etc/nginx/conf.d/vhosts/*.conf /usr/local/cwpsrv/htdocs/resources/conf/web_servers/main/nginx/conf/nginx.conf
***Wenn Sie den Webserver oder vhost von CWP neu aufbauen, stellen Sie sicher, dass Sie diesen Befehl erneut ausführen.
Extra:
Nachdem Sie den obigen Befehl ausgeführt haben, sperren Sie diese Dateien, wenn Sie die nginx-Hauptkonfiguration und den Hostnamen des Servers nicht ändern:
chattr +i /etc/nginx/conf.d/hostname-ssl.conf /etc/nginx/nginx.confWenn Sie nginx main conf oder den Hostnamen des Servers ändern wollen, entsperren Sie einfach diese Dateien und erstellen Sie dann die Webserver-Konfiguration oder vhost neu :
chattr -i /etc/nginx/conf.d/hostname-ssl.conf /etc/nginx/nginx.conf***Nach der Bearbeitung und der Neuerstellung des Webservers oder des Vhosts sperren Sie die Dateien einfach wieder.
Schritt 3 :
Übernehmen Sie die Vorlagen die Sie vorher heruntergeladen und entpackt haben, diese neuen Vorlagen erscheinen mit dem Zusatz “-Aplus” in der Dropdown Liste.
***Denken Sie daran: Wenn Sie eine andere Vorlage für die Domäne mit aktivem tls 1- und tls 1.1-Protokoll wählen, wird die A+-Punktzahl möglicherweise auf eine niedrigere Punktzahl herabgestuft, daher wird empfohlen, die A+-Vorlagen für alle Ihre Domänen und SANs zu verwenden.
Wenn Sie per “webserver domain config” für eine Benutzerdomäne aktiviert haben, müssen Sie diese Vorlagen auch dort auswählen.
Für APACHE only Webserver (php-cgi/fpm/proxy) folgen Sie dieser Anleitung für Apache :
Bearbeiten Sie folgende Datei:
/usr/local/apache/conf.d/ssl.conf
Stellen Sie sicher, dass Sie TLS 1.0 und TLS 1.1 ssl-Protokoll deaktiviert haben und fügen Sie diese Chiffren hinzu :
LoadModule ssl_module modules/mod_ssl.solisten 443
SSLProtokoll all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA! RC4:EECDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS"** Grunde brauchen Sie hier nur “SSLProtocol” und “SSLCipherSuite” zu bearbeiten
Apache neu starten:
systemctl restart httpd
Fügen Sie nun den HSTS-Header in die Domain .htaccess ein:
Header always set Strict-Transport-Security "max-age=31536000"Extra Arbeit :
Sie müssen auch Certification Authority Authorization (CAA) dns record für mehr Sicherheit hinzufügen lesen Sie hier LINK
So können Sie CAA DNS hinzufügen, denen Sie die Erlaubnis geben wollen, Zertifikate auszustellen:
painkiller-tech.com. 300 IN CAA 0 issue "digicert.com"
painkiller-tech.com. 300 IN CAA 0 issuewild "digicert.com"painkiller-tech.com. 300 IN CAA 0 issuewild "letsencrypt.org"
painkiller-tech.com. 300 IN CAA 0 issue "letsencrypt.org"painkiller-tech.com. 300 IN CAA 0 issuewild "comodoca.com"
painkiller-tech.com. 300 IN CAA 0 issue "comodoca.com"painkiller-tech.com. 300 IN CAA 0 issuewild "globalsign.com"
painkiller-tech.com. 300 IN CAA 0 issue "globalsign.com"
Das wars schon, Sie müssen die bestehenden Zertifikate nicht erneuern, diese Einstellungen greifen sofort mit den bereits bestehenden Zertifikaten.