====== Používání zastaralých šifer ======
Konfigurace vašeho serveru používá slabé nebo dokonce riskantní šifry. Hodnocení jednotlivých šifer můžete najít na [[https://ciphersuite.info/cs/?singlepage=true| ciphersuite.info]]. Doporučujeme používat pouze ty šifry, které jsou hodnoceny jako **recommended**, případně **secure**. Šifry označeny jako **weak** by neměly být použity pro nové instalace a na stávajících mohou být použity pouze v konktrétních krajních případech pro zachování kompatibility. **Insecure** šifry nesmí být používány vůbec. Nastavení šifrování podléhá [[https://nukib.gov.cz/download/uredni_deska/2021-10-08_OchranneOpatreni_final.pdf|vyhlášce]] NÚKIB.
**Varování**: Tyto konfigurace snižuje kompatibilitu se staršími verzemi klientů a operačních systémů. Konfiguraci uzpůsobte vašim potřebám.
**Příklady nastavení šifer**
**Apache**
Nastavte podporu pouze TLS 1.3:
SSLProtocol -all +TLSv1.3
Pokud potřebujete povolit i TLS 1.2:
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
**Nginx**
Nastavte podporu pouze TLS 1.3:
ssl_protocols TLSv1.3;
Pokud potřebujete povolit i TLS 1.2:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
**Postfix**
smtp inet n - - - - smtpd
-o smtpd_sasl_auth_enable=no
slow unix - - - - 1 smtp
-o syslog_name=postfix-slow
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_enforce_tls=yes
-o smtpd_sasl_auth_enable=yes
smtps inet n - - - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_enforce_tls=yes
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = $smtp_tls_exclude_ciphers
tls_preempt_cipherlist = yes
smtpd_tls_eecdh_grade = ultra
smtpd_tls_security_level = may
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_ciphers = high
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = RC4, aNULL, EXP, MEDIUM, LOW, DES, 3DES, SSLv2, AES256-GCM-SHA384, AES128-GCM-SHA256, AES256-SHA256, AES256-SHA256, CAMELLIA256-SHA256, AES256-SHA, CAMELLIA256-SHA, AES128-SHA256, CAMELLIA128-SHA256, AES128-SHA, CAMELLIA128-SHA
smtp_dns_support_level = dnssec
smtp_tls_security_level = dane
Velmi vysoké zabezpečení od [[https://access.redhat.com/articles/1468593|RedHat]].
**Dovecot**
Nastavte podporu pouze pro TLS 1.3:
ssl_min_protocol = TLSv1.3
Pokud potřebujete povolit i TLS 1.2:
ssl_min_protocol = TLSv1.2
ssl_max_protocol = TLSv1.3
ssl_cipher_list = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
**vsftpd**
ssl_ciphers=HIGH:!aNULL:!MD5:!3DES:!RC4:!LOW:!EXP:!PSK
**PostgreSQL**
Nastavte podporu pouze pro TLS 1.3:
ssl_min_protocol_version = 'TLSv1.3'
Pokud potřebujete povolit i TLS 1.2:
ssl_min_protocol_version = 'TLSv1.2'
ssl_ciphers = 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305'
**Otestování**
Výpis všech podporovaných šifer pro SSL/TLS:
''testssl.sh -e [URL]:[port]''
Pro test STARTTLS je nutné specifikovat službu, která na portu běží:
''testssl.sh -e -t [ftp/smtp/lmtp/pop3/imap/sieve/xmpp/xmpp-server/telnet/ldap/nntp/postgres/mysql] [URL]:[port]''
Pro otestování e-mailového serveru můžete použít testovací stránku [[https://internet.nl/test-mail/|Internet.nl]]