SSL Labs Échange de clés <100%, pourquoi? Comment puis-je le faire?
Je suis en train d'essayer d'obtenir le score maximum (ou presque maximum) sur SSL Labs mon site:
Je ne comprends pas pour le moment pourquoi cela ne me donne pas le plein score d’échange de clé .
Maintenant, ça ressemble à ça:
En dépit de cela, j'ai généré un fichier 4096 DHParameters et j'ai essayé beaucoup d'autres choses, comme l'achat d'un nouveau certificat de la taille 4096.
Donc, ma question pour vous sera:
SSL Labs L'échange de clés est inférieur à 100%, pourquoi? Et comment puis-je le rendre complet?
Système d'exploitation: GNU/Linux Debian 9.2 avec Apache 2.4.
Dans le fichier suivant:
/etc/Apache2/mods-enabled/ssl.conf
Il était nécessaire d’ajouter ces lignes pour garantir le plus haut niveau d’échange de clés:
SSLOpenSSLConfCmd ECDHParameters Automatic
SSLOpenSSLConfCmd Curves secp521r1:secp384r1
UPDATE 2018-avr-14
J'ai découvert que (au moins Chrome, = en lire plus à ce sujet ici ), a décidé d'adopter une négociation d'échange de clé inférieure, à savoir P-256 (prime256v1 dans Apache2, bien que - SSL Labs le renvoie comme secp256r1) malgré le fait que j'ai défini les courbes ci-dessus.
Donc, je suppose que nous devrions ajouter P-256 à la liste; veuillez changer la deuxième ligne en:
SSLOpenSSLConfCmd Curves secp521r1:secp384r1:prime256v1