Willkommen auf der Musterseite bestessl.eu


Dieses Web widmet sich der Einstellung des SSL/TLS-Protokolls auf dem Server Apache mit dem Dienst ZonerCloud.
Es befasst sich mit der Anfangskonfiguration des neu eingerichteten Servers - für die Endversion kann von der Default-Konfiguration des Servers nicht ausgegangen werden.


Details der verschlüsselten Verbindung

Ihre IP-Adresse: 18.206.241.26

Sie sind über das Protokoll TLSv1.2 verbunden und als Verschlüsselung wird ECDHE-RSA-AES128-GCM-SHA256 mit einem 128 Bits langen Schlüssel.genutzt
Algorithmus des öffentlichen Schlüssels: rsaEncryption und der Signatur: sha256WithRSAEncryption

Links

ZonerCloud
SSLmarket
Blog von SSLmarket
Zoner Software
SSLlabs Servertest

Zoner software a.s. leistet Internetdienste bereits seit dem Jahre 1996.


Einstellung von SSL/TLS anpassen

Default-Einstellung des Linux-Servers

Die Standard (Default) Einstellung auf den Linux-Servern (Debian, Ubuntu, usw.) ist für die praktische Nutzung nicht geeignet. In der Default-Einstellung akzeptiert der Server nämlich noch immer die Verbindung über das veraltete, nicht mehr genutzte SSLv3 Protokoll.

Nach der Installierung des Zertifikats sollten Sie Folgendes tun:

  • Das Protokoll SSLv3, TLS 1.0 und TLS 1.1 deaktivieren
  • RC4 in den genutzten Verschlüsselungen deaktivieren
  • Forward Secrecy zulassen

Ausschaltung des Protokolls SSLv3, TLS 1.0 und TLS 1.1

Die veralteten Protokolle können Sie entweder bei allen VHosts ausschalten, oder auf dem ganzen Server.

In /etc/apache2/mods-available/ssl.conf passen Sie an:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

RC4 ausschalten

Die RC4 Verschlüsselung wird als problematisch betrachtet, weil sie die Schwachstelle BEAST verursachen kann.

Die Verschlüsselung zu verbieten ist einfach. Sie brauchen vor sie nur ein Ausrufezeichen anzugeben und der Server wird sie nicht mehr nutzen.

In /etc/apache2/mods-available/ssl.conf passen Sie an:
SSLCipherSuite ... !RC4

Forward Secrecy

Forward Secrecy schützt die übertragenen Informationen vor ihrer späteren Entschlüsselung (zum Beispiel falls der private Schlüssel gestohlen wird). Die Voraussetzung für funktionierendes Forward Secrecy sind zwei Diffie-Hellman Algorithmen für den Schlüsselaustausch; DHE und ECDHE.

Mehr über Forward Secrecy erfahren Sie in dem Artikel SSL Labs: Deploying Forward Secrecy. Falls Sie sich mit der Problematik nicht eingehend auseindandersetzen möchten, können Sie in die Konfiguration nur die unten aufgeführte Reihenfolge der Verschlüsselungen einstellen.

In /etc/apache2/mods-available/ssl.conf passen Sie an:
SSLHonorCipherOrder on

SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"

Testen Sie die neue Einstellung

Diese Konfiguration wird einen hohen Maß an Sicherheit sicherstellen und gleichzeitig wird die möglichst hohe Kompatibilität> mit älteren Browsern erzielt. Sollten die absoluten Werte (4 x 100) erreicht werden, würde sich die Mehrheit der Browser zu ihrem Server nicht verbinden können.

Nachdem Sie die Änderungen vornehmen, wird sich das SSL/TLS Protokoll auf einem ausreichenden Niveau befinden und der Server wird geeignet abgesichert. Wir empfehlen Ihnen, auf SSLlabs den Server einem Test zu unterziehen.

Geben Sie den Domainnamen an und überprüfen Sie, wie richtig das SSL/TLS eingestellt ist:

 

Falls Sie die Note A bekommen, können Sie zufrieden sein - der Absicherung kann nichts vorgehalten werden. Sonst wird Ihnen der Kundensupport von SSLmarket gerne weiterhelfen.