Aanbevolen SSL-beveiligingsinstellingen voor Apache en DirectAdmin
Een veilige SSL-configuratie is essentieel om websites optimaal te beschermen tegen kwetsbaarheden en om moderne beveiligingsstandaarden te ondersteunen. In dit artikel lees je welke SSL-instellingen worden aanbevolen voor Apache in combinatie met DirectAdmin. De configuratie is gebaseerd op de aanbevolen instellingen van Mozilla en ondersteunt onder andere TLS 1.2 en TLS 1.3.
Stap 1: Maak een kopie van de standaard SSL-configuratie
Maak eerst een kopie van het standaardbestand httpd-ssl.conf. Hierdoor blijven je wijzigingen behouden wanneer Apache of DirectAdmin wordt bijgewerkt.
cp /usr/local/directadmin/custombuild/configure/ap2/conf/extra/httpd-ssl.conf /usr/local/directadmin/custombuild/custom/ap2/conf/extra/httpd-ssl.conf
Open vervolgens het nieuwe configuratiebestand:
vi /usr/local/directadmin/custombuild/custom/ap2/conf/extra/httpd-ssl.conf
Stap 2: Pas de SSL-configuratie aan
Voeg onderstaande instellingen toe of vervang de bestaande configuratie.
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM
# Requires Apache 2.4.36 & OpenSSL 1.1.1
SSLProtocol -all +TLSv1.3 +TLSv1.2
SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1
# Older versions
# SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
SSLInsecureRenegotiation Off
# Redirect HTTP naar HTTPS inclusief subdomeinen
# Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
# Requires Apache >= 2.4
SSLCompression Off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off
Met deze configuratie worden uitsluitend moderne encryptieprotocollen gebruikt en worden verouderde SSL- en TLS-versies uitgeschakeld. Daarnaast worden beveiligingsfuncties zoals OCSP Stapling en een veilige cipher-volgorde ingeschakeld.
Stap 3: Apache opnieuw laden
Nadat de configuratie is aangepast, moet Apache opnieuw worden gestart.
service httpd restart
Gebruik je CustomBuild binnen DirectAdmin? Voer dan eerst onderstaande opdrachten uit zodat de configuratie opnieuw wordt opgebouwd.
cd /usr/local/directadmin/custombuild
./build rewrite_confs
SSL-configuratie voor andere software
Naast Apache biedt Mozilla ook aanbevolen SSL-configuraties voor andere veelgebruikte servers en diensten, waaronder:
- Dovecot
- Exim
- MySQL
- Postfix
- ProFTPD
- Redis
Controleer altijd de meest recente SSL-instellingen
Beveiligingsrichtlijnen veranderen regelmatig. Controleer daarom altijd de meest actuele aanbevelingen via de Mozilla SSL Configuration Generator. Na het selecteren van de juiste software en versies ontvang je direct een aanbevolen configuratie die je kunt toepassen op je server.
Over de auteur
