Tips Mendapatkan Nilai A pada Hasil Qualys SSL Labs (Apache)

Posted by

Kualitas instalasi SSL pada website kita bisa di cek melalui tools website bernama Qualys SSL. Apabila di cek masih mendapat nilai C ke bawah, maka dipastikan website kita masih terdapat celah bug pada SSL yang kita konfigurasi, biasanya ini terkait dengan chipher yang digunakan oleh SSL tersebut.

Kali saya mau sharing mengenai tips mendapatkan nilai A bahkan A+ untuk SSL ketika di test melalui Qualys SSL serta untuk menutup bug-bug yang ada pada SSL tersebut serta meningkatkan keamanan website.

Pastikan website kita sudah di set menggunakan https dan terinstall SSL, kalau belum, berikut langkah-langkahnya

Set HTTPS pada website

Siapkan file SSL Certificate

Bila belum ada file SSL nya, bisa order dahulu di Excellent, kami provide berbagai type SSL , dari type Single Domain, Multi Domain hingga Wildcard Domain ->> https://www.excellent.co.id/ssl/

Konfigurasi VirtualHost

Untuk lokasi file virtualhost biasanya berada di directory /etc/apache2/sites-available/ pada Ubuntu, dan /etc/httpd/conf.d/ pada CentOS

Berikut ini contoh isian pada virtualhost dimana saya set auto redirect dari http ke https ketika diakses via web browser

<VirtualHost *:80>
DocumentRoot "/var/www/nextcloud"
ServerName nextcloud.rizkypratama.id
ServerAdmin root@localhost
ErrorLog ${APACHE_LOG_DIR}/nextcloud_error.log
CustomLog ${APACHE_LOG_DIR}/nextcloud_access.log combined
<Directory /var/www/nextcloud/>
Options +FollowSymlinks
AllowOverride All
<IfModule mod_dav.c>
Dav off
</IfModule>
SetEnv HOME /var/www/nextcloud
SetEnv HTTP_HOME /var/www/nextcloud
Satisfy Any
</Directory>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}:443%{REQUEST_URI}
</VirtualHost>

<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin root@localhost
ServerName nextcloud.rizkypratama.id
DocumentRoot "/var/www/nextcloud"

ErrorLog ${APACHE_LOG_DIR}/nextcloud_error.log
CustomLog ${APACHE_LOG_DIR}/nextcloud_access.log combined

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3

SSLCertificateFile /srv/ssl/commercial.crt
SSLCertificateKeyFile /srv/ssl/commercial.key
SSLCertificateChainFile /srv/ssl/commercial_ca.crt
SSLCACertificateFile /srv/ssl/commercial_ca.crt

<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
</VirtualHost>
</IfModule>

Bagian yang saya beri warna merah silakan disesuaikan saja, lalu save dan enable kan virtualhost nya

Kemudian di cek pada Qualys SSL, mestinya untuk settingan seperti itu maksimal hanya mendapat nilai C ke bawah.

Berikut ini beberapa konfigurasi yang mesti ditambahkan agar bisa mendapat nilai A pada Qualys SSL

Disable TLSv1.0 dan TLSv1.1

TLSv1.0 dan TLSv1.1 bisa dikatakan TLS versi lama yang saat ini kemungkinan memiliki celah keamanan sehingga disarankan untuk didisable serta hanya mengaktifkan TLSv1.2 saja

Diantara tag <VirtualHost _default_:443>
…..
</VirtualHost>

dan bagian SSLProtocol, silakan ubah menjadi seperti berikut

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Aktifkan ChipherOrder

Tambahkan script berikut dibawah tulisan SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

SSLHonorCipherOrder On
SSLCipherSuite "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA!RC4:EECDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS"

Aktifkan HSTS

Tambahkan script berikut diantara tag <VirtualHost _default_:443>…..</VirtualHost> juga

<IfModule mod_headers.c>
	Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>

Enable Beberapa Module

Selanjutnya aktifkan beberapa module berikut

# a2enmod rewrite env headers mime dir ssl setenvif

Selanjutnya silakan restart service apache2 nya

# service apache2 restart

Selanjutnya silakan di test kembali website anda pada Qualys SSL Labs

https://www.ssllabs.com/ssltest/index.html

Berikut hasilnya, mestinya akan mendapat nilai A+ dengan konfigurasi seperti diatas

Terima kasih

Semoga bermanfaat

6 comments

  1. bang saya mau tanya gimana caranya pasang hasil instal ssl cloudflare ke blogger??
    saya lihat hanya bisa di wordpres dan di cpanel..
    yang kedua apakah hasil ssl labs hasil grade nya B,, APAKAH dikatakan masih bagus??

    1. Untuk pasang SSL CF ke blogger kebetulan saya belum pernah, dan kurang paham juga apakah bisa dipasang ke blogger atau tidak
      Untuk hasil grade B bisa dibilang sudah cukup bagus, tapi baiknya di improve lagi supaya minimal dapat A

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.