让你的HTTPS更安全

CentOS Apache 开启HTTP/2 | 开启HSTS

摘要

CentOS配置SSL之后,需要进行进步一的安全配置操作。

比如:

SSLProtocol all -SSLv2 -SSLv3

本文讲解CentOS 在安装Apache的环境下,开启HTTP/2与开启HSTS的过程。

演示环境

操作系统:CentOS 7.3

容器:Apache

在CentOS部署完成SSL之后,HTTPS连接还不是最安全的,至少是在某些配置方面还是有待欠缺。在CentOS 7.3部署完成SSL之后并成功之后,用vim打开ssl.conf,找到SSLCipherSuite与SSLHonorCipherOrder这两项,并把前面的注释去掉。

另外SSLCipherSuite 的值修改成为:

HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM

开启HTTP/2

Apache 开启HTTP/2,Apache 从httpd 2.4.17开始支持HTTP/2

在CentOS 7.3 使用yum 安装httpd的默认版本是Apache/2.4.6,并不支持HTTP/2。需要下载最新版本并编译。

在ssl.conf的 <VirtualHost>. 节点中,添加:

Protocols h2 h2c http/1.1

并重启Apache。

HTTP/1与HTTP/2对比

开启HSTS

什么是HSTS呢?(HTTP Strict Transport Security,缩写HSTS),保证用户连接到网站的HTTPS版本,用户访问全称加密。

更多请参考HTTP严格传输安全

部署的话,首先启用HSTS的header模块LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so

然后在<VirtualHost>中加入:

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

其中这个:max-age至少大于15768000秒。

HTST协议留后讲解

重启Apache。

原文发布于微信公众号 - 数据库SQL(SQLdba)

原文发表时间:2018-02-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CRPER折腾记

一篇不大靠谱的nginx 1.11.10配置文件

网站是前后端分离,前端打包站点部署需要自力更生,为了避免跨域问题. 选择了nginx这个知名的反向代理服务器. 这里不探究安装这种问题。。。

832
来自专栏不想当开发的产品不是好测试

性能测试 -- 常用命令

linux下 CPU,内存查看: /proc/cpuinfo /proc/meminfo 查看CPU核数: cat /proc/cpuinfo|grep 'pr...

1929
来自专栏Golang语言社区

Linux服务器最最基本安全策略

1、Linux SSH 安全策略一:关闭无关端口 网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,...

5789
来自专栏禅林阆苑

利用NextCloud配置私有云 【原创】

利用NextCloud配置私有云 Write By CS逍遥剑仙 我的主页: www.csxiaoyao.com GitHub: github...

2K8
来自专栏凉城

利用HSTS安全协议柔性解决全站HTTPS的兼容性问题

1363
来自专栏刺客博客

更改Linux默认端口,并设置仅允许密钥登录

5105
来自专栏菜鸟程序员

开启HSTS让浏览器强制跳转HTTPS访问

3063
来自专栏优启梦

利用HSTS安全协议柔性解决全站HTTPS的兼容性问题

HSTS(HTTP Strict Transport Security)国际互联网工程组织 IETE 正在推行一种新的 Web 安全协议,作用是强制客户端(如浏...

4417
来自专栏小狼的世界

Kubernetes基础:编排调度的那些Controllers

Kubernetes提供了很多Controller资源来管理、调度Pod,包括Replication Controller、ReplicaSet、Deploym...

1642
来自专栏王二麻子IT技术交流园地

五、VueJs 填坑日记之将接口用webpack代理到本地

上一篇博文,我们已经顺利的从cnodejs.org请求到了数据,但是大家可以注意到我们的/src/api/index.js的第一句就是: // 配置API接口地...

60010

扫码关注云+社区

领取腾讯云代金券