Apache2 optimale SSL Konfiguration

Geschrieben von: Peter Pfläging 9 Jahre, 10 Monate her

(0 comments)

Wenn man einen Apache 2 Server vernünftig so konfigurieren will, dass die Testsuite von SSLLabs () ein gutes und sicheres Ergebnis liefert, so muss man in seiner Apache Konfiguration folgende Parameter setzen:

SSLEngine on
SSLCertificateChainFile    /etc/apache2/ssl/CA-Chain.pem
SSLCertificateFile    /etc/apache2/ssl/Server-Public-Cert.pem
SSLCertificateKeyFile /etc/apache2/ssl/Server-Private-Key.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
<filesmatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars



BrowserMatch ".*MSIE [2-5]\.." \
        nokeepalive ssl-unclean-shutdown \
        downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
#BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

(Achtung: Das Ergebnis mit Cut & Paste kopieren, ein Teil der Zeilen ist sehr lang)

Weiterhin sollte man dafür sorgen, dass die Zertifikatskette nur Zertifikate und Zertifizierungsstellen mit SHA-256 als Signatur-Algorithmus enthält (sonst gibt's Probleme zumindest mit Apple Geräten siehe meinen vorigen Post).

Das was uns jetzt noch fehlt, sind fast perfekte Zertifikate. Was ich im vorigen post schon erwähnt habe, ist zwar traurig, aber die CaCert Zertifikate scheiden hier erst einmal aus. In einem weiteren Post werde ich mich der "perfekten" PKI auch für kleinere Installationen widmen. Ich habe meine neuen Zertifikate erst einmal unter Mac OS X (Yosemite 10.10.2) mit dem Zertifikatsassistenten gemacht. Das geht zwar gut, ist aber nicht wirklich mein Zielszenario.

Aktuell nicht bewertet

Kommentare

Momentan gibt es keine Kommentare

Neuer Kommentar

benötigt

benötigt (nicht veröffentlicht)

optional

benötigt

Letzte Beiträge

Kategorien

Autoren

Archiv

2023
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005

Feeds

RSS / Atom