让你的HTTPS更安全

CentOS Apache 开启HTTP/2 | 开启HSTS

摘要

CentOS配置SSL之后,需要进行进步一的安全配置操作。

比如:

SSLProtocol all -SSLv2 -SSLv3

本文讲解CentOS 在安装Apache的环境下,开启HTTP/2与开启HSTS的过程。

演示环境

操作系统:CentOS 7.3

容器:Apache

在CentOS部署完成SSL之后,HTTPS连接还不是最安全的,至少是在某些配置方面还是有待欠缺。在CentOS 7.3部署完成SSL之后并成功之后,用vim打开ssl.conf,找到SSLCipherSuite与SSLHonorCipherOrder这两项,并把前面的注释去掉。

另外SSLCipherSuite 的值修改成为:

HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM

开启HTTP/2

Apache 开启HTTP/2,Apache 从httpd 2.4.17开始支持HTTP/2

在CentOS 7.3 使用yum 安装httpd的默认版本是Apache/2.4.6,并不支持HTTP/2。需要下载最新版本并编译。

在ssl.conf的 <VirtualHost>. 节点中,添加:

Protocols h2 h2c http/1.1

并重启Apache。

HTTP/1与HTTP/2对比

开启HSTS

什么是HSTS呢?(HTTP Strict Transport Security,缩写HSTS),保证用户连接到网站的HTTPS版本,用户访问全称加密。

更多请参考HTTP严格传输安全

部署的话,首先启用HSTS的header模块LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so

然后在<VirtualHost>中加入:

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

其中这个:max-age至少大于15768000秒。

HTST协议留后讲解

重启Apache。

原文发布于微信公众号 - 数据库SQL(SQLdba)

原文发表时间:2018-02-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java技术

为你的项目配置Maven私服Nexus

Nexus是一个强大的Maven仓库管理器,它极大地简化了自己内部仓库的维护和外部仓库的访问。

691
来自专栏开源项目

免费教你使用 git 仓库搭建 maven 私服 | 码云小课堂

1102
来自专栏哎_小羊

Java Maven项目之Nexus私服搭建和版本管理应用

目录: Nexus介绍 环境、软件准备 Nexus服务搭建 Java Maven项目版本管理应用 FAQ 1、Nexus介绍 Nexus是一个强大的Mave...

3048
来自专栏北京马哥教育

手把手教你用jumpserver搭建堡垒机!

? 作者:my_bai 来源: http://blog.csdn.net/my_bai/article/details/62226474 首先,jumps...

5297
来自专栏Java帮帮-微信公众号-技术文章全总结

Web-第二十五天 Maven学习一【悟空教程】

解决方案:maven对项目生命周期进行定义,规范,开发人员和测试人员使用maven软件完成构建。

1033
来自专栏区块链入门

第一课 如何在WINDOWS环境下搭建以太坊开发环境

根据本文指导,可以在WINDOUWS环境下完成以太坊智能合约部署前的比较环境准备。

743
来自专栏好好学java的技术栈

java实现支付宝支付完整过程(沙箱测试环境,下篇整合ssm)

1413
来自专栏bboysoul

dvwa安装教程

DVWA (Damn Vulnerable Web Application) 是用 PHP+MySQL 编写的一套用于漏洞检测和教学的程序,支持多种数据库,包括...

983
来自专栏增长技术

Buck

Facebook Buck 是个构建系统,以Google的内部构建系统 blaze为模型,它是由前Google, 现Facebook工程师开发并在Github上...

1241
来自专栏企鹅号快讯

通过TCP Wrappers设置ssh源地址过滤策略无法生效的解决办法

Linux系统管理员们应该经常会收到安全管理员们发来的openssh的相关漏洞,这个很常见,危险级别也比较高。通常有两种解决办法:1、升级openssh版本;2...

2127

扫码关注云+社区