Konfigurace vašeho serveru používá slabé nebo dokonce riskantní šifry. Hodnocení jednotlivých šifer můžete najít na ciphersuite.info. Doporučujeme používat pouze ty šifry, které jsou hodnoceny jako recommended, případně secure. Šifry označeny jako weak by neměly být použity pro nové instalace a na stávajících mohou být použity pouze v konktrétních krajních případech pro zachování kompatibility. Insecure šifry nesmí být používány vůbec. Nastavení šifrování podléhá vyhlášce NÚKIB.
Varování: Tyto konfigurace snižuje kompatibilitu se staršími verzemi klientů a operačních systémů. Konfiguraci uzpůsobte vašim potřebám.
Příklady nastavení šifer
Apache
Nastavte podporu pouze TLS 1.3:
SSLProtocol -all +TLSv1.3
Pokud potřebujete povolit i TLS 1.2:
SSLProtocol -all +TLSv1.2 +TLSv1.3 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
Nginx
Nastavte podporu pouze TLS 1.3:
ssl_protocols TLSv1.3;
Pokud potřebujete povolit i TLS 1.2:
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
Postfix
smtp inet n - - - - smtpd -o smtpd_sasl_auth_enable=no slow unix - - - - 1 smtp -o syslog_name=postfix-slow submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_enforce_tls=yes
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtpd_tls_mandatory_ciphers = high smtpd_tls_ciphers = high smtpd_tls_exclude_ciphers = $smtp_tls_exclude_ciphers tls_preempt_cipherlist = yes smtpd_tls_eecdh_grade = ultra smtpd_tls_security_level = may smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtp_tls_mandatory_ciphers = high smtp_tls_ciphers = high smtp_tls_exclude_ciphers = RC4, aNULL, EXP, MEDIUM, LOW, DES, 3DES, SSLv2, AES256-GCM-SHA384, AES128-GCM-SHA256, AES256-SHA256, AES256-SHA256, CAMELLIA256-SHA256, AES256-SHA, CAMELLIA256-SHA, AES128-SHA256, CAMELLIA128-SHA256, AES128-SHA, CAMELLIA128-SHA smtp_dns_support_level = dnssec smtp_tls_security_level = dane
Velmi vysoké zabezpečení od RedHat.
Dovecot
Nastavte podporu pouze pro TLS 1.3:
ssl_min_protocol = TLSv1.3
Pokud potřebujete povolit i TLS 1.2:
ssl_min_protocol = TLSv1.2 ssl_max_protocol = TLSv1.3 ssl_cipher_list = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
vsftpd
ssl_ciphers=HIGH:!aNULL:!MD5:!3DES:!RC4:!LOW:!EXP:!PSK
PostgreSQL
Nastavte podporu pouze pro TLS 1.3:
ssl_min_protocol_version = 'TLSv1.3'
Pokud potřebujete povolit i TLS 1.2:
ssl_min_protocol_version = 'TLSv1.2' ssl_ciphers = 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305'
Otestování
Výpis všech podporovaných šifer pro SSL/TLS:
testssl.sh -e [URL]:[port]
Pro test STARTTLS je nutné specifikovat službu, která na portu běží:
testssl.sh -e -t [ftp/smtp/lmtp/pop3/imap/sieve/xmpp/xmpp-server/telnet/ldap/nntp/postgres/mysql] [URL]:[port]
Pro otestování e-mailového serveru můžete použít testovací stránku Internet.nl