Apache SSL / TLS Config в соответствии с контрольным списком BSI TR-03116-4 ⇐ Apache

[Anonymous]

Я не могу (после нескольких недель чтения тестирования) создать стабильный файл Vhost, чтобы соответствовать всем критериям для контрольного списка BSI Security. p>
либо один TLS1.3 Ciphersuite является незаконным, TLS1.2 не включен, TLS1.2 Ciphersuites неверны или (если TLS1.2 Ciphersuites правильны) TLS1.3 не совпадают. /p>
Я запускаю контейнер Docker в сетевом режиме. < /p>
Мой файл конфигурации Apache Vhost выглядит следующим образом: < /p>


ServerName $SERVERNAME
ServerAdmin $ADMINMAIL
DocumentRoot /var/www/html/public

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log combined


AllowOverride All
Options -Indexes +FollowSymLinks -MultiViews
Require all granted


Protocols h2 h2c http/1.1
H2Direct on
H2Push on


SetHandler "proxy:unix:/run/php/php8.3-fpm.sock|fcgi://localhost/"


# SSL enable
SSLEngine on

# Certificate
SSLCertificateFile /etc/letsencrypt/live/$SERVERNAME/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/$SERVERNAME/privkey.pem

# TLS-Versions (allow TLS 1.2 and TLS 1.3 only)
SSLProtocol -all +TLSv1.2 +TLSv1.3

# Cipher Suites TLS1.3 (IANA Notation)
SSLCipherSuite TLSv1.3 TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
# this eliminates TLS_CHACHA20_POLY1305_SHA256 (not allowed by BSI checklist)

# Cipher Suites (TLS 1.2)
SSLCipherSuite ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384
# this line seems to be ignored

# Strict SNI Check
SSLStrictSNIVHostCheck on

# enforce Cipher Order
SSLHonorCipherOrder on

# SSL Compression
SSLCompression off

# HSTS (HTTP Strict Transport Security)
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

# Additional Securityheader
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "DENY"
Header always set X-XSS-Protection "1; mode=block"




ServerTokens Prod
ServerSignature Off

SSLUseStapling On
SSLStaplingCache "shmcb:logs/stapling_cache(32768)"
< /code>
Я прочитал всю документацию, которую спросил CHATGPT, но ничего не работает.
Может быть, у вас есть хорошая идея.
Спасибо < /p>

Подробнее здесь: https://stackoverflow.com/questions/794 ... tr-03116-4