Vlákno názorů k článku Hardening webového serveru Apache: šifrování a certifikáty od rsaf - Souhlasím s p. Jirsákem, že na opravdový "hardening"...

Souhlasím s p. Jirsákem, že na opravdový "hardening" je tohle trošku málo. Článek měl mít spíše nadpis "Qualys A+ snadno a rychle".
Co OCSP stapling, HPKP, DH klíče...?

Na druhou stranu jako návod pro rychlé nastavení Apache bez hlubokého zkoumání to celkem stačí.

Od HPKP se spíš upouští. Hardening je zostřování bezpečnosti, nikoliv vyřešení bezpečnosti. Vnímám ten návod jen jako minimum. OSCP stapling spíš ulehčuje (zrychluje), názor na zavádění stapligu se různí. Např. pokud máte na firewallu serveru filtrování směrem ven, musíte řešit stapling přes proxy (na L3 se to povolit nedá), ...

Z mého pohledu by to rámce, který si autor stanovil, hodilo ještě přidat zmínku o CAA záznamench, protože to opravdu souvisí s prací s certifikáty. Docela přínosný by byl i popis konfigurace za použití dvou serverových certifikátů v kombinaci RSA + EC a výběr vhodné kombinace ciphersuites. Dá se tím pak pokrývat podpora pro velkou řadu prohlížečů a přednostně využívat EC, které je početně jednodušší. RSA pak slouží jako doplněk pro některé prohlížeče, které si nedokáží vybrat z EC.