Мобильная версия Я не могу (после нескольких недель чтения тестирования) создать стабильный файл Vhost, чтобы соответствовать всем критериям для контрольного списка BSI Security. p>
либо один TLS1.3 Ciphersuite является незаконным, TLS1.2 не включен, TLS1.2 Ciphersuites неверны или (если TLS1.2 Ciphersuites правильны) TLS1.3 не совпадают. /p>
Я запускаю контейнер Docker в сетевом режиме. < /p>
Мой файл конфигурации Apache Vhost выглядит следующим образом: < /p>
ServerName $SERVERNAME
ServerAdmin $ADMINMAIL
DocumentRoot /var/www/html/public
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log combined
AllowOverride All
Options -Indexes +FollowSymLinks -MultiViews
Require all granted
Protocols h2 h2c http/1.1
H2Direct on
H2Push on
SetHandler "proxy:unix:/run/php/php8.3-fpm.sock|fcgi://localhost/"
# SSL enable
SSLEngine on
# Certificate
SSLCertificateFile /etc/letsencrypt/live/$SERVERNAME/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/$SERVERNAME/privkey.pem
# TLS-Versions (allow TLS 1.2 and TLS 1.3 only)
SSLProtocol -all +TLSv1.2 +TLSv1.3
# Cipher Suites TLS1.3 (IANA Notation)
SSLCipherSuite TLSv1.3 TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
# this eliminates TLS_CHACHA20_POLY1305_SHA256 (not allowed by BSI checklist)
# Cipher Suites (TLS 1.2)
SSLCipherSuite ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384
# this line seems to be ignored
# Strict SNI Check
SSLStrictSNIVHostCheck on
# enforce Cipher Order
SSLHonorCipherOrder on
# SSL Compression
SSLCompression off
# HSTS (HTTP Strict Transport Security)
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
# Additional Securityheader
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "DENY"
Header always set X-XSS-Protection "1; mode=block"
ServerTokens Prod
ServerSignature Off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/stapling_cache(32768)"
< /code>
Я прочитал всю документацию, которую спросил CHATGPT, но ничего не работает.
Может быть, у вас есть хорошая идея.
Спасибо < /p>
Подробнее здесь: https://stackoverflow.com/questions/794 ... tr-03116-4
Apache SSL / TLS Config в соответствии с контрольным списком BSI TR-03116-4 ⇐ Apache
1738947464
Anonymous
Я не могу (после нескольких недель чтения тестирования) создать стабильный файл Vhost, чтобы соответствовать всем критериям для контрольного списка BSI Security. p>
либо один TLS1.3 Ciphersuite является незаконным, TLS1.2 не включен, TLS1.2 Ciphersuites неверны или (если TLS1.2 Ciphersuites правильны) TLS1.3 не совпадают. /p>
Я запускаю контейнер Docker в сетевом режиме. < /p>
Мой файл конфигурации Apache Vhost выглядит следующим образом: < /p>
ServerName $SERVERNAME
ServerAdmin $ADMINMAIL
DocumentRoot /var/www/html/public
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log combined
AllowOverride All
Options -Indexes +FollowSymLinks -MultiViews
Require all granted
Protocols h2 h2c http/1.1
H2Direct on
H2Push on
SetHandler "proxy:unix:/run/php/php8.3-fpm.sock|fcgi://localhost/"
# SSL enable
SSLEngine on
# Certificate
SSLCertificateFile /etc/letsencrypt/live/$SERVERNAME/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/$SERVERNAME/privkey.pem
# TLS-Versions (allow TLS 1.2 and TLS 1.3 only)
SSLProtocol -all +TLSv1.2 +TLSv1.3
# Cipher Suites TLS1.3 (IANA Notation)
SSLCipherSuite TLSv1.3 TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
# this eliminates TLS_CHACHA20_POLY1305_SHA256 (not allowed by BSI checklist)
# Cipher Suites (TLS 1.2)
SSLCipherSuite ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384
# this line seems to be ignored
# Strict SNI Check
SSLStrictSNIVHostCheck on
# enforce Cipher Order
SSLHonorCipherOrder on
# SSL Compression
SSLCompression off
# HSTS (HTTP Strict Transport Security)
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
# Additional Securityheader
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "DENY"
Header always set X-XSS-Protection "1; mode=block"
ServerTokens Prod
ServerSignature Off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/stapling_cache(32768)"
< /code>
Я прочитал всю документацию, которую спросил CHATGPT, но ничего не работает.
Может быть, у вас есть хорошая идея.
Спасибо < /p>
Подробнее здесь: [url]https://stackoverflow.com/questions/79421637/apache-ssl-tls-config-to-match-bsi-checklist-tr-03116-4[/url]
Ответить
1 сообщение
• Страница 1 из 1
Перейти
- Кемерово-IT
- ↳ Javascript
- ↳ C#
- ↳ JAVA
- ↳ Elasticsearch aggregation
- ↳ Python
- ↳ Php
- ↳ Android
- ↳ Html
- ↳ Jquery
- ↳ C++
- ↳ IOS
- ↳ CSS
- ↳ Excel
- ↳ Linux
- ↳ Apache
- ↳ MySql
- Детский мир
- Для души
- ↳ Музыкальные инструменты даром
- ↳ Печатная продукция даром
- Внешняя красота и здоровье
- ↳ Одежда и обувь для взрослых даром
- ↳ Товары для здоровья
- ↳ Физкультура и спорт
- Техника - даром!
- ↳ Автомобилистам
- ↳ Компьютерная техника
- ↳ Плиты: газовые и электрические
- ↳ Холодильники
- ↳ Стиральные машины
- ↳ Телевизоры
- ↳ Телефоны, смартфоны, плашеты
- ↳ Швейные машинки
- ↳ Прочая электроника и техника
- ↳ Фототехника
- Ремонт и интерьер
- ↳ Стройматериалы, инструмент
- ↳ Мебель и предметы интерьера даром
- ↳ Cантехника
- Другие темы
- ↳ Разное даром
- ↳ Давай меняться!
- ↳ Отдам\возьму за копеечку
- ↳ Работа и подработка в Кемерове
- ↳ Давай с тобой поговорим...
