Apache HTTP Server โ bu eng qadimgi va eng tarqalgan web-serverlardan biri bo'lib, dunyo bo'ylab millionlab saytlar shu platformada ishlaydi. SSL sertifikatlarni Apache da o'rnatish mod_ssl moduli orqali amalga oshiriladi va bu jarayon Nginx ga nisbatan biroz batafsilroq sintaksisni talab qiladi. Ammo Apache ning eng katta afzalligi โ bu .htaccess fayli orqali har bir papkada alohida sozlamalar qo'yish imkoniyati bo'lib, shared hosting muhitida bu juda qadrli hisoblanadi. Sayt.uz texnik xodimlari Apache bilan kunda ishlashadi va biz mijozlar uchun eng yaxshi amaliyotlarni tavsiya qilamiz.
mod_ssl modulini yoqish
Debian va Ubuntu serverlarda "a2enmod ssl" buyrug'i orqali mod_ssl modulini yoqish mumkin va bu jarayonni boshlash uchun zarur bo'lgan birinchi qadam. Yoqilgandan keyin Apache ni qayta ishga tushiring "systemctl restart apache2" va modulning yuklanganligini tekshiring "apache2ctl -M | grep ssl" buyrug'i orqali. CentOS va RHEL tizimlarida modul "yum install mod_ssl" yoki "dnf install mod_ssl" buyrug'i orqali alohida o'rnatiladi va u avtomatik ravishda yoqiladi. Modul yoqilgandan keyin 443-port ochiladi va Apache shifrlangan ulanishlarni qabul qila boshlaydi.
Virtual host bloki sozlash
Virtual host konfiguratsiya fayli odatda "/etc/apache2/sites-available/example.com-ssl.conf" yo'lida joylashtiriladi va u "<VirtualHost *:443>" tegi bilan boshlanadi. Ushbu blok ichida "SSLEngine on" direktivasini yozish kerak va keyin sertifikat fayllariga yo'l ko'rsatiladi: "SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem" va "SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem". Eski Apache 2.4.7 dan oldingi versiyalarda CA Bundle ham alohida ko'rsatilishi kerak edi, ammo zamonaviy versiyalarda fullchain.pem fayli o'zida butun zanjirni saqlaydi.
HTTP dan HTTPS ga yo'naltirish
80-portda ishlaydigan virtual host bloki ichida "Redirect permanent / https://example.com/" qatorini qo'shsangiz, barcha HTTP trafigi avtomatik ravishda HTTPS versiyaga yo'naltiriladi. Bu yondashuv saytni butun foydalanuvchi bazasi uchun xavfsiz qiladi va Google indeksatsiyasida ham faqat HTTPS versiyani ko'rsatadi. Alternativ variant โ bu mod_rewrite orqali yo'naltirish va u "RewriteEngine On" hamda "RewriteCond %{HTTPS} off" qatorlarini ishlatadi. Bu yondashuv ko'proq moslashuvchan bo'lib, alohida URL'lar uchun istisno yaratish imkonini beradi.
Zamonaviy shifrlash protokollari
Eski TLS 1.0 va 1.1 protokollarini o'chirish uchun "SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1" direktivasini ssl.conf fayliga qo'shing va faqat zamonaviy TLS 1.2 va 1.3 versiyalarini qoldiring. "SSLCipherSuite" parametrini Mozilla Modern profili asosida sozlash xavfsizlikni yuqori darajaga ko'taradi. "SSLHonorCipherOrder on" direktivasi server tomondan cipher tartibini majburiy qiladi va eski "BEAST" hujumlaridan himoya qiladi. OCSP Stapling yoqish uchun "SSLUseStapling on" va "SSLStaplingCache shmcb:/var/run/ocsp(128000)" qatorlarini qo'shing.
HSTS va xavfsizlik sarlavhalari
"Header always set Strict-Transport-Security 'max-age=31536000; includeSubDomains'" qatorini qo'shish brauzerlarga sizning saytingizga doim HTTPS orqali ulanishni majburiy qiladi. Yana muhim sarlavhalar โ bu "X-Content-Type-Options nosniff" va "X-Frame-Options SAMEORIGIN" bo'lib, ular MIME sniffing va clickjacking hujumlaridan himoya qiladi. CSP (Content Security Policy) sarlavhasi ham zamonaviy saytlar uchun zarur va u XSS hujumlarini qiyinlashtiradi. Apache da bu sarlavhalarni qo'shish uchun mod_headers modulini yoqish kerak.
Sayt.uz amaliyot
Sayt.uz infratuzilmasining 28 foizi Apache asosida ishlaydi va biz cPanel hosting'larida bu konfiguratsiyani standart sifatida ishlatamiz. Har bir Apache serverga TLS 1.3, OCSP Stapling va HSTS yoqilgan holda yetkazib beriladi va mijoz alohida sozlamalar qilishi shart emas. SSL migratsiya xizmati bepul va texnik xodimlar 2 soat ichida mavjud Apache konfiguratsiyasini optimal holatga keltiradi. Shared hosting'da SSL avtomatik o'rnatiladi va oyiga 25 000 so'm narxida qo'lab-quvvatlanadi.