This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

Обсуждение установки и настройки поддерживаемых вебсерверов, а также работы с ними.
Ответить
AlektroNik
Сообщения: 109
Зарегистрирован: Ср июл 29, 2020 7:26 pm

This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

Сообщение AlektroNik » Вт авг 25, 2020 2:32 pm

Добрый день.

У меня связка Apache + PHP-FPM на CentOS 8.

При тестирование SSL/TLS выдает рейтинг В.
This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

https://www.ssllabs.com/ssltest


Пытался внести изменения в конфиг апача, но сайты не стали принимать эти настройкт.

Код: Выделить всё

# vim /etc/httpd/conf.d/ssl.conf
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

# apachectl -k restart

Тогда прописал каждому виртуальному хосту эти настройки в "Индивидуальная донастройка виртхостов" (:8000/index.php?do=webserver_config) и сайты их приняли.

Вопросы:
1. Подскажите, пожалуйста, как прописать эти настройки для всех сайтов по умолчанию?
2. Может прописать эти настройки изначально в панели при раздаче дистрибутива? Мне кажется хорошая идея )))

Аватара пользователя
sbury
Сообщения: 1344
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

Сообщение sbury » Вт авг 25, 2020 5:38 pm

это возможно. добавим в следующем обновлении для 8

AlektroNik
Сообщения: 109
Зарегистрирован: Ср июл 29, 2020 7:26 pm

Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

Сообщение AlektroNik » Вт авг 25, 2020 6:09 pm

sbury писал(а):
Вт авг 25, 2020 5:38 pm
это возможно. добавим в следующем обновлении для 8
Спасибо.
А сейчас Подскажите, пожалуйста, как прописать эти настройки для всех сайтов по умолчанию? Или пока только для каждого в отдельности как я описал выше?

Аватара пользователя
sbury
Сообщения: 1344
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

Сообщение sbury » Ср авг 26, 2020 10:16 am

да можно. сделать изменения как в патче /etc/brainy/conf/vhosts/vhosts.tpl

Код: Выделить всё

--- a/vhosts.tpl        2020-08-18 14:43:32.000000000 -0400
+++ b/vhosts.tpl        2020-08-26 06:03:33.569156508 -0400
@@ -67,8 +67,11 @@
             {/if}

         {/if}
-
         {if $ssl==1}
+       SSLProtocol all -SSLv2 -SSLv3
+       SSLHonorCipherOrder on
+       SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
+
             Protocols h2 http/1.1
         {/if}
                 {if $portnginxpanel>0}

после чего пересобрать вирт-хосты.

Внимание! Кто не знает что это лучше подождать обновление.

AlektroNik
Сообщения: 109
Зарегистрирован: Ср июл 29, 2020 7:26 pm

Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

Сообщение AlektroNik » Ср авг 26, 2020 10:59 am

Теперь опять рейтинг В выставляет ))) Правда теперь за TLS ниже 1.2

This server supports TLS 1.0 and TLS 1.1. Grade capped to B.
Update 1/31/2020: The grade change is now live on www.ssllabs.com. Servers that support TLS 1.0 or TLS 1.1 are capped to B grade.
https://blog.qualys.com/ssllabs/2018/11 ... -protocols

Странно, что до пересборки хостов почему-то TLS ниже 1.2 были отключены. И наш код до этого отрабатывал на ура.

Можно Вас попросить заменить:

Код: Выделить всё

SSLProtocol all -SSLv2 -SSLv3
на

Код: Выделить всё

SSLProtocol -ALL +TLSv1.2 +TLSv1.3
А так все работает. Большое спасибо!!! :D ;)

AlektroNik
Сообщения: 109
Зарегистрирован: Ср июл 29, 2020 7:26 pm

Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

Сообщение AlektroNik » Вс май 02, 2021 4:08 pm

sbury писал(а):
Ср авг 26, 2020 10:16 am
да можно. сделать изменения как в патче /etc/brainy/conf/vhosts/vhosts.tpl

Код: Выделить всё

--- a/vhosts.tpl        2020-08-18 14:43:32.000000000 -0400
+++ b/vhosts.tpl        2020-08-26 06:03:33.569156508 -0400
@@ -67,8 +67,11 @@
             {/if}

         {/if}
-
         {if $ssl==1}
+       SSLProtocol all -SSLv2 -SSLv3
+       SSLHonorCipherOrder on
+       SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
+
             Protocols h2 http/1.1
         {/if}
                 {if $portnginxpanel>0}

после чего пересобрать вирт-хосты.

Внимание! Кто не знает что это лучше подождать обновление.

Добрый вечер.
Опять таже проблема.
"This server does not support Forward Secrecy with the reference browsers. Grade capped to B."
В /etc/brainy/conf/vhosts/vhosts.tpl нет указанных строк.
Что-то изменилось? Эти настройки теперь перенесли может быть в какое-то другое место?

Аватара пользователя
sbury
Сообщения: 1344
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

Сообщение sbury » Пн май 03, 2021 9:46 am

Сделайте изменения вручную и переберите виртуальные хосты. Или добавьте эти строки вручную в конфиге требуемого виртуального хоста и перезапустите сервис. Это исправило ситуацию?

AlektroNik
Сообщения: 109
Зарегистрирован: Ср июл 29, 2020 7:26 pm

Re: This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

Сообщение AlektroNik » Пн май 03, 2021 9:54 am

sbury писал(а):
Пн май 03, 2021 9:46 am
Сделайте изменения вручную и переберите виртуальные хосты. Или добавьте эти строки вручную в конфиге требуемого виртуального хоста и перезапустите сервис. Это исправило ситуацию?
Да, я просто ручками добавил эти строки в /etc/brainy/conf/vhosts/vhosts.tpl перед строкой "Protocols h2 http/1.1":

Код: Выделить всё

SSLProtocol -ALL +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
потом зашел в дополнительные настройки сайтов :8000/index.php?do=setting_virthost и нажал "Восстановить конфиг по умолчанию".
Мне показалось эта процедура более гуманная чем пересборка хостов.
Получилось перечитать конфиг без перезапуска апача, аналог:
# apachectl configtest
# systemctl reload httpd
# systemctl status httpd


Просто мне казалось эти изменения были внесены уже в основную сборку панели. Или каждый раз после обновления панели нужно править?

Ответить