Tips Mendapatkan Nilai A pada Hasil Qualys SSL Labs (Apache)

Posted by

Kualitas instalasi SSL pada website kita bisa di cek melalui tools website bernama Qualys SSL. Apabila di cek masih mendapat nilai C ke bawah, maka dipastikan website kita masih terdapat celah bug pada SSL yang kita konfigurasi, biasanya ini terkait dengan chipher yang digunakan oleh SSL tersebut.

Kali saya mau sharing mengenai tips mendapatkan nilai A bahkan A+ untuk SSL ketika di test melalui Qualys SSL serta untuk menutup bug-bug yang ada pada SSL tersebut serta meningkatkan keamanan website. Check Result

Pastikan website kita sudah di set menggunakan https dan terinstall SSL, kalau belum, berikut langkah-langkahnya

Set HTTPS pada website

Siapkan file SSL Certificate

Bila belum ada file SSL nya, bisa order dahulu di Excellent, kami provide berbagai type SSL , dari type Single Domain, Multi Domain hingga Wildcard Domain ->> https://www.excellent.co.id/ssl/

Konfigurasi VirtualHost

Untuk lokasi file virtualhost biasanya berada di directory /etc/apache2/sites-available/ pada Ubuntu, dan /etc/httpd/conf.d/ pada CentOS

Berikut ini contoh isian pada virtualhost dimana saya set auto redirect dari http ke https ketika diakses via web browser

<VirtualHost *:80>
DocumentRoot "/var/www/nextcloud"
ServerName nextcloud.rizkypratama.id
ServerAdmin root@localhost
ErrorLog ${APACHE_LOG_DIR}/nextcloud_error.log
CustomLog ${APACHE_LOG_DIR}/nextcloud_access.log combined
<Directory /var/www/nextcloud/>
Options +FollowSymlinks
AllowOverride All
<IfModule mod_dav.c>
Dav off
</IfModule>
SetEnv HOME /var/www/nextcloud
SetEnv HTTP_HOME /var/www/nextcloud
Satisfy Any
</Directory>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}:443%{REQUEST_URI}
</VirtualHost>

<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin root@localhost
ServerName nextcloud.rizkypratama.id
DocumentRoot "/var/www/nextcloud"

ErrorLog ${APACHE_LOG_DIR}/nextcloud_error.log
CustomLog ${APACHE_LOG_DIR}/nextcloud_access.log combined

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3

SSLCertificateFile /srv/ssl/commercial.crt
SSLCertificateKeyFile /srv/ssl/commercial.key
SSLCertificateChainFile /srv/ssl/commercial_ca.crt
SSLCACertificateFile /srv/ssl/commercial_ca.crt

<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
</VirtualHost>
</IfModule>

Bagian yang saya beri warna merah silakan disesuaikan saja, lalu save dan enable kan virtualhost nya

Kemudian di cek pada Qualys SSL, mestinya untuk settingan seperti itu maksimal hanya mendapat nilai C ke bawah.

Berikut ini beberapa konfigurasi yang mesti ditambahkan agar bisa mendapat nilai A pada Qualys SSL

Aktifkan ChipherOrder

Tambahkan script berikut diantara tag <VirtualHost _default_:443>…..</VirtualHost> dan tetap dibawah tulisan SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder On
SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCMSHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSAAES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHERSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCMSHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

Aktifkan HSTS

Tambahkan script berikut diantara tag <VirtualHost _default_:443>…..</VirtualHost> juga

<IfModule mod_headers.c>
	Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>

Selanjutnya silakan restart service apache2 nya

# service apache2 restart

Selanjutnya silakan di test kembali website anda pada Qualys SSL Labs

https://www.ssllabs.com/ssltest/index.html

Berikut hasilnya, mestinya akan mendapat nilai A+ dengan konfigurasi seperti diatas

Terima kasih

Semoga bermanfaat

 

My Social Network
Please follow and like us:

Leave a Reply

Your email address will not be published. Required fields are marked *

*