Ubuntu 24.04 的 Apache2 解決 TLS/SSL Weak Cipher Suites

資安防護設定相關文章：

1.Laravel 網站遇到Host header attack 解決方法及python檢測漏洞方法

2.Ubuntu 24.04 的 Apache2 設定 HTTP Strict Transport Security(HSTS)與檢測方法

3.Ubuntu 24.04 的 Apache2 解決 TLS/SSL Weak Cipher Suites

1.apache2 啟用 SSL 模組

$sudo a2enmod ssl

2.使用nmap 檢查本機的漏洞

#掃RDP的3389

$nmap --script ssl-enum-ciphers -p 3389 127.0.0.1

#掃https的443

$nmap --script ssl-enum-ciphers -p 443 127.0.0.1

3.編輯 /etc/apache2/sites-available/default-ssl.conf

$sudo nano  /etc/apache2/sites-available/default-ssl.conf

將下面寫入

# 伺服器使用自己定義的 Cipher 排序（不要讓 client 決定）

SSLHonorCipherOrder on

# 停用 SSL 壓縮（防止 CRIME 攻擊）

SSLCompression off

# 安全 Cipher 套件組合

SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305

SSLSessionTickets off

 SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

 # Security headers

 ## X-Content-Type-Options

 Header set X-Content-Type-Options "nosniff"

    

 ## Content-Security-Policy

 Header set Content-Security-Policy "frame-ancestors 'self';"

    

 ## Strict Transport Security (HSTS)

 Header set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"

4.檢查設定語法是否正確

$sudo apache2ctl configtest

5.重啟Apache2

$sudo service apache2 start

6.檢查本機的設定

$nmap --script ssl-enum-ciphers -p 443 127.0.0.1

7.外部檢測網址：https://www.ssllabs.com/ssltest/

輸入網址就可進行檢測。

資料來源：

1.如何解決 Apache 上網站弱點掃描的 Weak SSL Cipher 問題？

2.[Ubuntu] Apache 模組的啟用與停用

3.[資安]TLS/SSL Weak Cipher Suites處理

4.Apache SSL Cipher Suite

5.How can I disable Cipher Suites for Apache2

6.Secure Your Apache Server in 2024: Achieving an A+ Rating on Qualys SSL Labs