如何使用Apache2.2在Qualys实验室上获得"A“？

Question

我试过运行Qualys‘ssltest几次，它一直抱怨在某些浏览器中不支持PFS。

在他们的博客上，他们建议Apache2.4的配置应该在他们的测试中获得"A“级，但是配置可想而知在Apache2.2中没有获得"A”。

有谁知道在这个测试中是否有可能得到Apache2.2的"A“呢？如果是这样的话，是怎么做的？

Answer 1

Apache 2.2.26增加了对短暂椭圆曲线Diffie-Hellman (ECDHE)的支持.这很可能是阻碍你在考试中取得A的能力的原因。当ECDHE不可用时，一些Internet浏览器会更喜欢非前向保密密码套件。这也可能取决于您是否喜欢服务器密码顺序和其他因素。

Answer 2

http://cipherli.st的站点有配置片段，用于为Apache、nginx和lighttpd设置Qualys级的A级TLS。它还包括HSTS，OCSP-装订和X帧选项的声明.

Answer 3

创建结果页面的屏幕截图；在测试服务器时，总是有一些指向文档的链接，还有很多关于如何改进以获得A级的提示：

• SSL/TLS部署最佳实践
• SSL服务器评等指南
• OpenSSL食谱

你确定你遵循了你的设置指南吗？除了pfs，您还需要启用hsts才能获得A

iirc可用密码不依赖apache版本，而取决于所使用的openssl版本。