Sicurezza, sicurezza!

Ho lavorato un po’ sulla configurazione del webserver, lato ssl siamo a posto, anche se lato wordpress ancora vengono presentati riferimenti non sicuri, ma datemi tempo… 😉

Tutto è partito perché con la conf di default dell’nginx di Dotdeb, Qualys SSL Labs dava una fetidissima classificazione “C” al mio sito, così ho iniziato a sperimentare per arrivare almeno ad “A”, e alla fine ho preso un “A+”. 🙂 🙂

In soldoni mi sono generato un certificato gratuito con Let’s Encrypt e poi ho lavorato sulla conf di nginx:

ssl on;
ssl_certificate /etc/letsencrypt/live/villo.it/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/villo.it/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ‘kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED’;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
add_header Strict-Transport-Security ‘max-age=31536000; includeSubDomains;’;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
ssl_session_cache builtin:1000 shared:SSL:10m;

Il file /etc/nginx/ssl/dhparam.pem è stato generato con

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

Ovviamente, ogni consiglio è bene accetto 🙂

Share This: