你的 HTTPS 連線安全嗎? - 設定篇

上回介紹了如何檢測主機連線使用的連線協定及加密演算法，這次我們將會介紹如何修改這些設定，依照不同的服務，有不同的調整作法。

開始之前，到底哪些是該被停用的呢?

還記得上回檢測完產出的報告嗎?

上面有針對過時的或是不建議使用的傳輸協定或是加密演算法標上顏色 (如上圖紅框標示)，可以將這些被標記的協定或是演算法停用。

但要注意的是：如果你的系統還有一些舊作業系統的使用者(例如：Windows XP)，參考建議的設定可能會導致這些使用者無法正常使用

如何調整設定呢?

IIS

使用 IIS Crypto 修改

簡單且便利的做法，只需要點幾個按鈕，重新啟動即可完成。

1. 首先到官網下載 IIS Crypto
2. 下載後以系統管理員身份開啟 IIS Crypto
3. 點左下角的 「Best Practices」或是自己取消勾選要停用的協定或演算法，按下「Apply」
4. 點選左邊的 Cipher Suites ，可以調整細部的 Cipher ，調整完一樣按下 「Apply」 套用
5. 重新啟動主機套用

修改機碼

如果主機是不允許另外安裝工具程式的話，也可以自己動手修改機碼達到相同的效果，但相對的會比較複雜一些

1. 開啟 regedit 登錄碼編輯器 （記得用系統管理員身份開啟）
2. 停用過時的連線協定
   1. 移動到 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ 這個資料夾
   2. 找到要停用的協定（例如：SSL 3.0) ，進到該資料夾底下的 Server 資料夾中
   3. 將 Enable 的 DWORD 改為
   4. 如果 DisabledByDefault 存在的話，確保他為 1
   5. 建議連同 Client 的驗證也關閉，與 Server 資料夾同一層，重複上述動作即可
3. 停用過時的加密演算法
   1. 移動到 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\ 這個資料夾
   2. 找到要停用的加密演算法 (例如：NULL)，進到該資料夾中
   3. 將 Enable 的 DWORD 改為
4. 重新啟動主機套用

Apache 

在 Apache SSL Config (以 CentOS 為例，其路徑為 /etc/httpd/conf.d/ssl.conf) 找到 SSLProtocol 及 SSLCipherSuite，依據需求調整協定及加密演算法設定，調整完畢後儲存並重新啟動 Apache 套用

Tomcat 

在 Tomcat 的 server.xml 找到對應的 Connector (通常為 443 或 8443) ，其中的 SSLHostConfig 可以設定要啟用的協定及加密演算法，調整完畢後儲存並重新啟動 Tomcat 套用

Nginx

在 nginx 的設定 nginx.conf (或是站台的設定) 找到 443 Server 區塊，其中的 ssl_protocols 及 ssl_ciphers 可以設定要啟用的協定及加密演算法，調整完畢後儲存並重新啟動 nginx 套用

調整完設定後，可以再透過檢測工具做一次確認，確保所有的設定都有與預期相符。

以上介紹了幾個常見的網站伺服器的設定，希望可以幫助到大家 ：）

同場加映：使用 mozilla SSL Configuration Generator 產生建議的設定檔

mozilla SSL Configuration Generator 提供了目前主流的網站伺服器與資料庫系統的設定建議，只需要在上面設定好你要的環境及等級，下方就會提供你推薦的設定