Hardening de TLS no Apache em 2026 — cifras, OCSP stapling e o pipeline de renovação de cert
15 de maio de 2026 · 1 min de leitura · por Sudhanshu K.
Toda instalação Apache que auditamos tem uma config TLS que alguém copiou e colou de um guia da Mozilla em 2019. As cipher suites são longas demais. Os protocolos ainda permitem TLS 1.0 em uma linha SSLProtocol all -SSLv3 que ninguém atualizou. OCSP stapling está desligado porque falhou uma vez durante uma mudança de firewall e nunca foi reativado. Renovação de cert é um cron do Certbot que ninguém monitora até parar de funcionar.
Esta é a config TLS que entregamos em cada host Apache gerenciado em 2026.
O bloco SSL do vhost
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLCipherSuite TLSv1.2 ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"TLS 1.3 não precisa de SSLCipherSuite — suas suites são negociadas independentemente. A linha SSLHonorCipherOrder off está correta em 2026: clientes modernos escolhem o cipher melhor que sua config.
O artigo completo cobre:
- Por que session tickets estão desligados (forward secrecy não é real se você reutiliza uma chave de ticket por semanas)
- OCSP stapling — como impedi-lo de falhar silenciosamente
- O hook certbot + apache-reload que sobrevive a runs de
certbot renew - Monitoramento de certs: alertar a 30/14/7 dias restantes, não no vencimento
- O job
ssllabs-scanque rodamos semanalmente em toda a frota - HSTS preload — a decisão irreversível e como escalá-la
Entregamos esta configuração em cada instalação Apache gerenciada.
Full article available
Read the full article