วิธีเปิด Enabling Perfect Forward Secrecy , Apache , Nginx

หากคุณลูกค้า เช็คผล SSL Report จาก ssllabs.com พบข้อความ

This server does not support Forward Secrecy with the reference browsers. Grade capped to B.

ให้ดำเนินการแก้ไขดังนี้

การตั้งค่า Apache สำหรับ Forward Secrecy

หาก Web Server ของท่านใช้งาน Apache ให้กับการ ตรวจสอบอัพเกรดเวอร์ชั่น เพื่อรองรับ SSL/TLS library Elliptic Curve cryptography (ECC).

Minimum Required Versions

• OpenSSL 1.0.1c+

• Apache 2.4x

ตรวจสอบการตั้งค่า SSLProtocol

grep -i -r "SSLEngine" /etc/apache 
หรือ grep -i -r "SSLEngine" /etc/httpd

ทำการเพิ่มลบ แก้ไขใน config

SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder on

ทำการตั้งค่า SSLCipherSuite ร่วมกับ RC4 (แนะนำใช้อันนี้)
* Use this configuration if you have a preference for GCM (Galois Counter Mode) suites (these suites are resistant to timing attacks) and RC4 (RC4 is resistant to BEAST). To improve performance, use the faster ECDHE suites whenever possible.

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

ทำการตั้งค่า SSLCipherSuite ไม่ต้องการใช้ RC4
* Use this configuration if you have a preference for GCM (Galois Counter Mode) suites (these suites are resistant to timing attacks) and you prefer not to use RC4. To improve performance, use the faster ECDHE suites whenever possible.

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

หากการใช้งานด้วย องค์กรของท่านใช้ Browser Version เก่า
* Configure with RC4 as a last resort to support wide range and older browsers

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4"

ทำการ Restart Apache

service apache2 restart 

หรือ 
apachectl -k restart

หรือ
service httpd restart

การตั้งค่า Nginx สำหรับ Forward Secrecy

หาก Web Server ของท่านใช้งาน nginx ให้กับการ ตรวจสอบอัพเกรดเวอร์ชั่น เพื่อรองรับ SSL/TLS library Elliptic Curve cryptography (ECC).

Minimum Required Versions

• OpenSSL 1.0.1c+

• Nginx 1.0.6+ and 1.1.0+

ตรวจสอบการตั้งค่า SSLProtocol

grep -i -r "SSLEngine" /etc/nginx

ทำการเพิ่มลบ แก้ไขใน config

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on

ทำการตั้งค่า SSLCipherSuite ร่วมกับ RC4 (แนะนำใช้อันนี้)

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

Configure without RC4

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";

Configure with RC4 as a last resort to support wide range and older browsers

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4";
Restart Nginx.

Nginx Restart Service

 service nginx restart