Форум Практика оптимизации Любые вопросы от новичков по оптимизации

Какой ssl купить?

1 234
[Удален]
#21

Воть :)

Очень много красненького, чую не к добру.

Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#22

Для лечения показанных вами симптомов нужно добавить в конфиг апача строку: 


SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

Или, если поддержка IE6/WindowsXP не важна, строку: 


SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

После перезапуска апача и повторного прогона теста, покажите остальные покраснения

---------- Добавлено 30.07.2016 в 01:49 ----------

Для лечения симптома болезни POODLE на первом скриншоте также добавить в конфиг апача строку: 


SSLProtocol all -SSLv2 -SSLv3
⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
[Удален]
#23

Спасибо вам за помощь. Я уже 24 онлайн глазки закрываются. Солнце вам в всегда просвет.

Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#24

А для лечения болезни server chain is incomplete - над о использовать сертификат из файла fullchain.pem, а не cert.pem

[Удален]
#25

Всё сделал как вы сказали, всё поправил - прописал:

Всё равно на ubuntu в мазиле пишет "ваше соединение не защищено".

Печаль какая-то.

Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#26

KitayacVsupez, Server's certificate chain is incomplete. Это из-за этого. Вы отдаете один сертификат, и не отдаете промежуточный. Прописали fullchain.pem вместо cert.pem? В этом файле должно быть как минимум два блока "-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----". Перезапустить апач не забыли после смены настройки?

Также можно прописать в апач параметр


SSLCertificateChainFile /etc/letsencrypt/live/forum.site.ru/chain.pem

если fullchain.pem не тот / не помогает

hostmaster.ua (тестирование EPP, ssl Установка подписанного CA SSL Невозможно получить сертификат локального
[Удален]
#27
Оптимизайка:
KitayacVsupez, Server's certificate chain is incomplete. Это из-за этого. Вы отдаете один сертификат, и не отдаете промежуточный. Прописали fullchain.pem вместо cert.pem? В этом файле должно быть как минимум два блока "-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----". Перезапустить апач не забыли после смены настройки?

Также можно прописать в апач параметр

SSLCertificateChainFile /etc/letsencrypt/live/forum.site.ru/chain.pem


если fullchain.pem не тот / не помогает

Да, заменил на fullchain.pem, в данном фале 2 блока как вы сказали, они присутствуют.

Вот мой конфиг:

<VirtualHost *:443>
    ServerName forum.site.ru

    DocumentRoot /var/www/forum.site.ru/
    <Directory /var/www/forum.site.ru/>
        AllowOverride All
    </Directory>

    CustomLog ${APACHE_LOG_DIR}/forum.site.access.log common
    ErrorLog ${APACHE_LOG_DIR}/forum.site.error.log
    LogLevel warn
    SSLEngine on
    SSLCertificateFile    /etc/letsencrypt/live/forum.site.ru/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/forum.site.ru/privkey.pem
    SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
    SSLProtocol all -SSLv2 -SSLv3
</VirtualHost>

<virtualhost *:80>
   ServerName forum.site.ru
   Redirect permanent / https://forum.site.ru/
</virtualhost>

<virtualhost *:80>
   ServerName www.forum.site.ru
   Redirect permanent / https://forum.site.ru/
</virtualhost>

Сейчас заново проверю. Спасиб за помощь, просто странно что я обыскал весь интернет и нигде нет хотя-бы минимального мануала, единственное в самом апаче лежат мануалы, но они сами понимаете...

---------- Добавлено 30.07.2016 в 16:55 ----------

Мне на валидаторе уже стало писать: Assessment failed: Unable to connect to the server

Но сайт ото всюду доступен :)

Проблемы с доменами от good-host.net проблемы ПС не поднимают сайт
[Удален]
#28

Всё. Сделал как вы написали, результат:

Спасибо за помощь, результат улучшен. Правда меня смущают некоторые пункты, возможно улучшить до А+? :)

Мой конфиг:

<VirtualHost *:443>
    ServerAdmin admin@gmail.com
    ServerName forum.site.ru

    DocumentRoot /var/www/forum.site.ru/
    <Directory /var/www/forum.site.ru/>
        AllowOverride All
    </Directory>

    CustomLog ${APACHE_LOG_DIR}/forum.onligamez.access.log common
    ErrorLog ${APACHE_LOG_DIR}/forum.onligamez.error.log
    LogLevel warn
    SSLEngine on
    SSLCertificateFile    /etc/letsencrypt/live/forum.site.ru/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/forum.site.ru/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/forum.site.ru/chain.pem   
    SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
    SSLProtocol all -SSLv2 -SSLv3
</VirtualHost>

<virtualhost *:80>
   ServerName forum.site.ru
   Redirect permanent / https://forum.site.ru/
</virtualhost>

<virtualhost *:80>
   ServerName www.forum.site.ru
   Redirect permanent / https://forum.site.ru/
</virtualhost>
Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#29

KitayacVsupez, для того, чтобы улучшить результат до A (без минуса), необходимо решить проблему с Forward Secrecy в основных браузерах. Для этого как минимум нужно добавить в конфигурацию апача параметр


SSLHonorCipherOrder on

Если этого будет недостаточно, то возможно нужно будет ещё отказаться от поддержки устаревших браузеров, использовав соответствующий SSLCipherSuite который я указывал выше.

Для того, чтобы улучшить результат до A+, необходимо включить поддержку HSTS путем добавления в конфигурацию апача параметра:


Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
[Удален]
#30
Оптимизайка:
KitayacVsupez, для того, чтобы улучшить результат до A (без минуса), необходимо решить проблему с Forward Secrecy в основных браузерах. Для этого как минимум нужно добавить в конфигурацию апача параметр 


SSLHonorCipherOrder on


Если этого будет недостаточно, то возможно нужно будет ещё отказаться от поддержки устаревших браузеров, использовав соответствующий SSLCipherSuite который я указывал выше.

Для того, чтобы улучшить результат до A+, необходимо включить поддержку HSTS путем добавления в конфигурацию апача параметра: 


Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

Всё сделал, результат улучшен до A+:

Единственно 2 ошибки но это уже неактуально я так полагаю :D

Спасибо за помощь в настройке https, и вправду разнице бесплатный или платный нету, вопрос исключительно в правильной настройки его на сервере.

Программа для сенсорного моноблока Посоветуйте по 301 редиректу Проблема с отправителем в
1 234

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий