TLSWebサーバーのApache設定の強化

OS：GNU/Linux Debian 9.2、完全に更新されました。

タイトルの下でTLS WebサーバーのApache設定を強化する私は次のことを意味します：

• tLS 1.0の無効化、すでにこの設定で行われています：

  SSLProtocol -all +TLSv1.1 +TLSv1.2
  

  次のファイルで：

  /etc/Apache2/conf-available/security.conf
  

• gZIP圧縮の無効化。すでに次のコマンドで実行されています。

  a2dismod deflate
  

  このモジュールを本当に無効にするかどうかを尋ねられましたが、次のように入力する必要がありました。

  はい、私が言うようにしてください！

  当然のことながら、深刻な疑問がありましたが、問題はないようです。

  私は当初、その設定を考えました：

  SSLCompression Off
  

  トリックを行うだろうが、とにかく今後、それは別の目的を果たすようです...

• いくつかの便利なヘッダーの設定：

  Header always set X-Content-Type-Options: "nosniff"
  
  Header always set X-Frame-Options: "sameorigin"
  
  Header always set X-XSS-Protection: 1
  
  Header always set Content-Security-Policy: "default-src 'none'; script-src 'none'; style-src 'self'; img-src 'self'"
  
  Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
  

• 256ビット暗号化への切り替え：

  SSLCipherSuite ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:DH+AES256:ECDH+AES256:DH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!DSS:!eNULL:!ADH:!EXP:!LOW:!PSK:!SRP:!RC4
  

  切り替えを正しく行う方法がわからなかったので、これが私の主な質問です。そのため、どこにでも256を追加しました。驚いたことに、それは機能します:)しかし、行は正しいですか？

あまり台無しにならなかったといいのですが。

SSLLabsや他の多くのサイトでテストされていますが、簡単な情報が必要な場合は、次のものを使用することをお勧めします。

https://cryptoreport.websecurity.symantec.com/checker/

私が保護しているウェブサイトは次のとおりです。

https://www.zalohovaniburian.cz/

（まだ「工事中」の画像以外は含まれていません。）

EDIT1：

• 私はより大きなDHParametersファイルを次のように生成しました：

  openssl dhparam -out dhparams.pem 4096
  

  rootによってのみR/W可能であることが保証されています。

• 最後に、私はそれをファイルに含めました：

  /etc/Apache2/mods-available/ssl.conf
  

  行で：

  SSLOpenSSLConfCmd DHParameters "/etc/ssl/dhparams.pem"
  

EDIT2：

normalSSL証明書を購入したので、今日遅くに無料のLet'sEncryptを交換しました。以前はSpaceSSLがありました。

EDIT3：

上記に加えて、私は見つけることができません：

• 証明書はどのDNSCAAを使用していますか？

• OCSP Must-Stapleを有効にする方法は？