Om een 100% A+ score te halen moet je dit doen:
Zet dit in /etc/letsencrypt/cli.ini
# deze is nu populair omdat ie "lichter" is
key-type = ecdsa
elliptic-curve = secp521r1
#of deze:
#elliptic-curve = secp384r1
#of deze tragere setting met langere laadtijden
#key-type = rsa
#rsa-key-size = 4096
certbot --apache -c /etc/letsencrypt/cli.ini --must-staple --staple-ocsp -d docs.securityheaders.nl
Open console als root en bewerk /etc/letsencrypt/your-ssl.cnf
SSLEngine on
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305
Om ook de TLSv1.3 ciphers aan te passen doe je dit:
Open console als root en bewerk openssl.cnf
root@vps# nano /etc/ssl/openssl.cnf
Voeg de laatste regel toe in de configuratie van OpenSSL 1.1.1 of OpenSSL 3.0.9
[default_conf]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=2
CipherSuites = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
