Apache - Konfigurere stærke Cipher Suites

Ved at bruge den følgende linje er det muligt at konfigurere SSL sådan at kun stærk kryptografi bliver accepteret:

SSLCipherSuite HIGH:!aNULL:!MD5

Ved hjælp af følgende linje i konfigurationen er det muligt at indstille en præference til specifikke, på hastighed optimerede ciphers (som bliver valgt af mod_ssl forudsat at de understøttes af klienten):

SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5
SSLHonorCipherOrder on

Naturligvis er en SSLCipherSuite med kun stærk kryptering til hele serveren ikke løsningen (for eksempel fordi brugere med gamle browsere så ikke kan besøge hjemmesiden). Som en løsning kan mod_ssl konfigureres i "Location blocks" så man kan indikere per mappe hvilke ciphers gælder og bliver der automatisk lavet en genforhandling af SSL parametrene for at kunne møde den nye konfiguration. Dette kan gøres på den følgende måde:

# be liberal in general
SSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL

<Location /strong/area>
# but https://hostname/strong/area/ and below
# requires strong ciphers
SSLCipherSuite HIGH:!aNULL:!MD5
</Location>

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.