Wenn man einen Apache 2 Server vernünftig so konfigurieren will, dass die Testsuite von SSLLabs () ein gutes und sicheres Ergebnis liefert, so muss man in seiner Apache Konfiguration folgende Parameter setzen:
SSLEngine on
SSLCertificateChainFile /etc/apache2/ssl/CA-Chain.pem
SSLCertificateFile /etc/apache2/ssl/Server-Public-Cert.pem
SSLCertificateKeyFile /etc/apache2/ssl/Server-Private-Key.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
<filesmatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVarsBrowserMatch ".*MSIE [2-5]\.." \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
#BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
(Achtung: Das Ergebnis mit Cut & Paste kopieren, ein Teil der Zeilen ist sehr lang)
Weiterhin sollte man dafür sorgen, dass die Zertifikatskette nur Zertifikate und Zertifizierungsstellen mit SHA-256 als Signatur-Algorithmus enthält (sonst gibt's Probleme zumindest mit Apple Geräten siehe meinen vorigen Post).
Das was uns jetzt noch fehlt, sind fast perfekte Zertifikate. Was ich im vorigen post schon erwähnt habe, ist zwar traurig, aber die CaCert Zertifikate scheiden hier erst einmal aus. In einem weiteren Post werde ich mich der "perfekten" PKI auch für kleinere Installationen widmen. Ich habe meine neuen Zertifikate erst einmal unter Mac OS X (Yosemite 10.10.2) mit dem Zertifikatsassistenten gemacht. Das geht zwar gut, ist aber nicht wirklich mein Zielszenario.
Share on Twitter Share on Facebook
Comments
There are currently no comments
New Comment