Questo è un link a una schermata di Controllo configurazione SSL di GlobalSign per il mio dominio: Controllo configurazione SSL: link .
Dopo le recenti discussioni con l'host, hanno concluso:
To achieve "A" rating,we will need to enable "Forward Secrecy" and for that we need Apache 2.4.X. The current Apache web server installed on the dedicated server is : Server version: Apache/2.2.24 (Unix).
Il certificato è gratuito con l'hosting.
Tuttavia, mi è venuto in mente che questo stato gratuito potrebbe essere irrilevante se si tratta di configurazioni server che determinano se i test TLS passano con un ' A '.
Domanda:
È il server che determina principalmente la configurazione TLS ottimale per quanto riguarda gli SSL Checker di ssllabs.com e simili?
In questo caso, quindi:
È giusto concludere che non importa quale sia il livello di TLS acquistabile (ad esempio SSL di base fino ai costosi certificati SSL EV) se il server non è configurato in base a standard riconoscibili come la disattivazione di SSL 3.0 e abilitando TLS 1.2 (permettendo la versione di Apache), il TLS non raggiungerà mai A, A-, O A + quando testato?
Considerando l'impatto che la versione di Apache ha su "Forward Secrecy", questo numero potrebbe essere ancora vero anche con un certificato SSL EV?
UPDATE:
Link: Best practice per la distribuzione SSL / TLS
Passaggi per risolvere (raggiungere Grado ) accettabile:
Con il protocollo TLS v1.2, OpenSSL aggiornato e ricompilato Apache: Apache / 2.2.29 mod_ssl / 2.2.29 OpenSSL / 1.0.1e-fips mod_bwlimited / 1.4 mod_fcgid / 2.3.9
Dopo, aggiustiamo nuovamente i codici.
Ha bloccato il server per la vulnerabilità di Poodle disabilitando il protocollo SSL v3.