SSL Sicherheitslücken vermeiden
SSL Sicherheitslücken und wie man sie vermeidet.
Es gibt unglaublich viele schlechte SSL Konfigurationen die unglaubliche Sicherheitslücken öffnen.
Die Lücken können mittels https://ssldecoder.org/ geprüft werden.Die korrekten Einstellungen können unter https://cipherli.st/ nachgeschlagen werden. > Leider am 22.01.2020 eingestellt
Den Hintergrund gibt es unter https://bettercrypto.org/
Testen kann man seine Domain dann mittels: Qualis SSL-Labs
Die aktuell sichere Apache-Konfiguration sieht laut “Cipherli.st Strong Ciphers for Apache” so aus (Stand Ende 2019):
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off
Die neu erstellte und aktivierte Konfiguration kann (und sollte) gegen einen Scanner wie Qualis SSL-Labs getestet werden um zu sehen ob die neue Konfiguration funktioniert.
Freie und kostenlose SSL-Zertifikate gibt es unter
https://letsencrypt.org/
Hallo,
dazu wollte ich in den nächsten Wochenenden einen Artikel schreiben, wenn ich diese Seite auf https umstelle.
Eigentlich will ich das schon seit Monaten machen, seit ich die News zu “Let’s Encrypt is a new Certificate Authority” gelesen habe. Aber wie immer … die Zeit…