Ho provato a eseguire Qualys's ssltest un paio di volte e continua a lamentarsi del fatto che PFS non è supportato in alcuni browser.
Nel loro blog , suggeriscono una configurazione per Apache 2.4 che dovrebbe ottenere un voto "A" nel loro ssltest, ma la configurazione [prevedibilmente] non guadagna una "A" in Apache 2.2.
Qualcuno sa se è possibile ottenere una "A" con Apache 2.2 su questo test? Se sì, come?
Apache 2.2.26 ha aggiunto il supporto per la curva ellittica effimera Diffie-Hellman (ECDHE). Questo è probabilmente quello che sta impedendo la tua capacità di ottenere una A sul test. Alcuni browser Internet Explorer preferiscono suite di crittografia di segretezza non forward quando ECDHE non è disponibile. Questo può anche dipendere se preferisci l'ordine di cifratura del server e altri fattori.
crea uno screenshot della pagina dei risultati; ci sono sempre alcuni link alla documentazione durante il test di un server, e un sacco di suggerimenti su cosa fare per migliorare per ottenere una classifica A:
sei sicuro di aver seguito quelle guide per la configurazione? accanto a pfs hai bisogno di hts abilitato per ottenere un A
iirc i codici disponibili non dipendono dalla versione di apache, ma dalla versione di openssl usata
Il Mozilla SSL Configuration Generator suggerisce configurazioni per il tuo server Web e la versione openSSL e indica anche quali client saranno in grado di connettersi.
La tua migliore prova potrebbe essere quella di usare profilo moderno per Apache 2.2.31 .
Utilizza le seguenti opzioni SSL nella configurazione di apache:
SSLProtocol -all +TLSv1.2 +TLSv1.1 +TLSv1 -SSLv3 -SSLv2
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"