A+ score verkrijgen op je letsencrypt SSL certificaat
Geplaatst op 30-10-2020 om 00:00
Met een SSL certificaat ben je er nog niet. Je hebt dan weliswaar je verbinding tussen de browser en de website beveiligd, maar daar heb je het dan ook mee gehad. Er zijn nog een paar dingen die je kunt doen om een hogere score te krijgen.
Vergeet niet je CAA record in je DNS toe te voegen voor je domein. ( 0 issue "letsencrypt.org", als je letsencrypt gebruikt).
Middels een aantal extra headers kunnen we op SSLLABS een A+ score krijgen én op securityheaders.com een A+ score voor je domein.
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header append X-XSS-Protection "1; mode=block"
Header append X-FRAME-OPTIONS "SAMEORIGIN"
Header append X-Content-Type-Options "nosniff"
Header append Content-Security-Policy: "default-src *; script-src *.jquery.com; style-src *;
Header append Referrer-Policy: no-referrer
Header set Permissions-Policy "execution-while-not-rendered=(self); execution-while-out-of-viewport=(self); fullscreen=(self); legacy-image-formats=(self); oversized-images=(self); sync-xhr=(self); geolocation=(none); midi=(none); notifications=(none); push=(none); microphone=(none); camera=(none); magnetometer=(none); gyroscope=(none); speaker=(none); vibrate=(none); fullscreen=(self)'; payment=(none)"
Wat dit allemaal precies betekent kun je op securityheaders.com zelfs opzoeken. Daar staat een hele goede beschrijving.
Bovenstaande headers kun je gewoon in je .htaccess bestand plaatsen. Denk eraan dat je 'Content-Security-Policy' voor een groot deel bepaalt of je JS/CSS bestanden van buiten je webroot mag gebruiken of niet. Tevens kun je aangeven of je wel/niet inline-css/js gebruikt.