Dieses Web widmet sich den mithilfe von Apache und ZonerCloud eingestellten SSL/TLS Protokollen.
Es befasst sich mit der Ausgangskonfiguration des neu errichteten Servers, die in der Praxis nicht verwendet werden kann.

Links

ZonerCloud
SSLmarket
Zoner Software
Test SSLlabs

Voreinstellung des Debian-Servers

Die Voreinstellung (Default) von Debian 7 ist für endgültige Versionen nicht gerade geeignet. Im Default lässt der Server die Verbindung über das SSLv3-Protokoll noch immer zu, obwohl dieses nicht mehr verwendet wird.

Einstellung von SSL/TLS

Nach der Installierung des Zertifikats sollten wir folgende Schritte unternehmen:

SSLv3-Protokoll einschalten

Das veraltete Protokoll SSLv3 können wir entweder auf allen virtuellen Hosts oder auf dem ganzen Server ausschalten.

Editieren Sie in/etc/apache2/mods-available/ssl.conf:
SSLProtocol all -SSLv2 -SSLv3

RC4-Verschlüsselung ausschalten

Die RC4-Verschlüsselung wird als heikel angesehen, weil sie einen Vektor der Verletzbarkeit (Vulnerabilität) BEAST darstellt.

Um sie zu verbieten, müssen wir vor sie nur ein Ausrufezeichen setzen; der Server wird die unerwünschte Verschlüsselung weiter nicht verwenden.

Editieren Sie in /etc/apache2/mods-available/ssl.conf:
SSLCipherSuite ... !RC4

Forward Secrecy

Forward Secrecy schützt übertragene Daten vor einer späteren Entschlüsselung (zum Beispiel nach der Entwendung von private key). Die Voraussetzung für eine funktionierende Forward Secrecy stellen zwei Diffie-Hellman Algorithmen für den Schlüssel-Austausch dar, DHE und ECDHE.

Mehr Informationen über Forward Secrecy sind in dem folgenden Artikel zu finden: SSL Labs: Deploying Forward Secrecy. Statt die ganze Problematik zu studieren, können wir aber auch nur die folgende Reihenfolge der Verschlüsselungen in die Konfiguration einstellen:

Editieren Sie in /etc/apache2/mods-available/ssl.conf:
SSLHonorCipherOrder on

SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"

Test der neuen Einstellung

Diese Konfiguration garantiert ein hohes Niveau der Absicherung und zugleich die maximale Kompatibilität mit älteren Browsern. Bei der Erreichung der absoluten Bewertung (4x100) würde sich die Mehrheit der Browser mit ihrem Server nicht verbinden.

Nach der Durchführung der oben genannten Veränderungen wird das SSL/TLS Protokoll auf entsprechendem Niveau eingestellt und unser Server gut abgesichert sein. Es ist empfehlenswert, den Server auf SSLlabs zu testen.

Schreiben Sie den Namen Ihrer Domain ein und prüfen Sie die Richtigkeit der Einstellung von SSL/TLS:

 

Falls Sie die Note A erreichen, können Sie zufrieden sein – Ihrer Absicherung kann nichts vorgeworfen werden. Im entgegengesetzten Fall ist die Unterstützung des SSLmarkets bereit, Ihnen jederzeit zu helfen.