Co se tyka omezeni klientu, tak je lepsi k tomu vyuzit nejaky auth modul,
nez to davat natvrdo do konfigurace apache – obzvaste pokud jich mame vice.
Napr. takto http://www.modssl.org/…l_howto.html#ToC9
Taky je fajn trosku poladit protokol a sifry, kterymy se da standardne
prihlasit. Default je vsechnhy, tj: SSlv2, SSlv3 a TLSv1. V dnesni dobe
pouzivat SSLv2 uz neni zrovna to ono, kdyz vsichni moderni klineti zvladaji bez
potizi TLSv1. Takze ostatni se daji vypnout: SSLProtocol -all +TLSv1 A rovnez
nastavit akceptovani pouze nejsilenjsiho sifrovani: SSLCipherSuite HIGH
Paranoici si pochopitelne muzou nastavit jednotlive sifry a minimalni velikost
klice: SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 256 Ktere sifry mate
k dispozici na strane serveru mozno zjistit takto: ./openssl ciphers -v
P.S.: k uspesnemu provozovani klientskych certifikatu je potreba mit apache
1.3 nebo 2.2. Verze apache 2.0 ma neopravenou chybu (dnes uz spis ficuru) pri
prijimani POST pozadavku, ktera se projevi odmitnutim/spadnutim ssl
spojeni – a tudiz na nejakou vaznejsi palikaci nejde pouzit (aspon to tak
bylo, pokud uz ten patch dali konecne i do 2.0 tak me opravte).
Vlákno názorů k článku
SSL autentizácia s webovým serverom Apache
caracho (neregistrovaný)
---.cust.nbox.cz
27. 5. 2009 2:24
