SSL Sicherheitslücken vermeiden

SSL Sicherheitslücken und wie man sie vermeidet.
Es gibt unglaublich viele schlechte SSL Konfigurationen die unglaubliche Sicherheitslücken öffnen.

Die Lücken können mittels https://ssldecoder.org/ geprüft werden.
Die korrekten Einstellungen können unter https://cipherli.st/ nachgeschlagen werden. > Leider am 22.01.2020 eingestellt
Den Hintergrund gibt es unter https://bettercrypto.org/
Testen kann man seine Domain dann mittels: Qualis SSL-Labs 

 

Die aktuell sichere Apache-Konfiguration sieht laut “Cipherli.st Strong Ciphers for Apache” so aus (Stand Ende 2019):

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off 
SSLUseStapling on 
SSLStaplingCache "shmcb:logs/stapling-cache(150000)" 
# Requires Apache >= 2.4.11
SSLSessionTickets Off

Die neu erstellte und aktivierte Konfiguration kann (und sollte) gegen einen Scanner wie Qualis SSL-Labs getestet werden um zu sehen ob die neue Konfiguration funktioniert.

2 Kommentare
    • hagen
      hagen sagte:

      Hallo,
      dazu wollte ich in den nächsten Wochenenden einen Artikel schreiben, wenn ich diese Seite auf https umstelle.
      Eigentlich will ich das schon seit Monaten machen, seit ich die News zu “Let’s Encrypt is a new Certificate Authority” gelesen habe. Aber wie immer … die Zeit…

      Antworten

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert