上回介紹了如何檢測主機連線使用的連線協定及加密演算法,這次我們將會介紹如何修改這些設定,依照不同的服務,有不同的調整作法。
還記得上回檢測完產出的報告嗎?
上面有針對過時的或是不建議使用的傳輸協定或是加密演算法標上顏色 (如上圖紅框標示),可以將這些被標記的協定或是演算法停用。
但要注意的是:如果你的系統還有一些舊作業系統的使用者(例如:Windows XP),參考建議的設定可能會導致這些使用者無法正常使用
簡單且便利的做法,只需要點幾個按鈕,重新啟動即可完成。
如果主機是不允許另外安裝工具程式的話,也可以自己動手修改機碼達到相同的效果,但相對的會比較複雜一些
regedit
登錄碼編輯器 (記得用系統管理員身份開啟)HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\
這個資料夾Enable
的 DWORD 改為
DisabledByDefault
存在的話,確保他為 1
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
這個資料夾Enable
的 DWORD 改為
在 Apache SSL Config (以 CentOS 為例,其路徑為 /etc/httpd/conf.d/ssl.conf
) 找到 SSLProtocol
及 SSLCipherSuite
,依據需求調整協定及加密演算法設定,調整完畢後儲存並重新啟動 Apache 套用
在 Tomcat 的 server.xml
找到對應的 Connector (通常為 443 或 8443) ,其中的 SSLHostConfig
可以設定要啟用的協定及加密演算法,調整完畢後儲存並重新啟動 Tomcat 套用
在 nginx 的設定 nginx.conf
(或是站台的設定) 找到 443 Server 區塊,其中的 ssl_protocols
及 ssl_ciphers
可以設定要啟用的協定及加密演算法,調整完畢後儲存並重新啟動 nginx 套用
調整完設定後,可以再透過檢測工具做一次確認,確保所有的設定都有與預期相符。
以上介紹了幾個常見的網站伺服器的設定,希望可以幫助到大家 :)
mozilla SSL Configuration Generator 提供了目前主流的網站伺服器與資料庫系統的設定建議,只需要在上面設定好你要的環境及等級,下方就會提供你推薦的設定