He intentado ejecutar sysltest de Qualys varias veces y me sigue quejando de que PFS no es compatible con algunos navegadores.
En su blog , sugieren una configuración para Apache 2.4 que debería obtener una calificación de "A" en su ssltest, pero la configuración [previsiblemente] no obtiene una "A" en Apache 2.2.
¿Alguien sabe si es posible obtener una "A" con Apache 2.2 en esta prueba? Si es así, ¿cómo?
Apache 2.2.26 agregó soporte para la curva elíptica efímera Diffie-Hellman (ECDHE). Esto es probablemente lo que está impidiendo su capacidad de obtener una A en la prueba. Algunos navegadores de Internet Explorer preferirán los conjuntos de cifrado de secreto sin reenvío cuando ECDHE no esté disponible. Esto también puede depender de si prefiere el orden de cifrado del servidor y otros factores.
hacer una captura de pantalla de la página de resultados; siempre hay algunos enlaces a la documentación cuando se prueba un servidor, y muchos consejos sobre qué hacer para mejorar un rango A:
¿estás seguro de haber seguido esas guías para tu configuración? al lado de pfs, necesitas hsts habilitado para obtener una A
iirc los cifrados disponibles no dependen de la versión de apache, sino de la versión openssl utilizada
El Mozilla SSL Configuration Generator sugiere configuraciones para su servidor web y versión openSSL y También le informa qué clientes podrán conectarse.
Su mejor intento podría ser utilizar <
Use las siguientes opciones SSL en su configuración de apache:
SSLProtocol -all +TLSv1.2 +TLSv1.1 +TLSv1 -SSLv3 -SSLv2
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"