SSL-Verbindungen (https) optimieren bzw. sicherer machen

Hinweis: Wir haben in diesem Artikel möglicherweise Provisions-Links verwendet und sie durch (*) gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält maffert.net eine Provision. Es entstehen für Sie keine Nachteile beim Kauf oder Preis.

Es gibt viele Seiten die RC4 einsetzen, wovon neuerdings eher abgeraten wird (wie auf http://www.golem.de/news/ssl-tls-schwaechen-in-rc4-ausnutzbar-1303-98164-2.html oder http://blog.cryptographyengineering.com/2013/03/attack-of-week-rc4-is-kind-of-broken-in.html zu lesen ist). Hier möchte ich kurz zeigen, wie man RC4 deaktivert und SSL ein klein wenig absichert.

Umsetzen kann man das in dem man in der VirtuaHost Datei folgendes so ändert:

Unsichere Protokolle deaktivieren:

SSLProtocol TLSv1

Unsichere Ciphersuiten deaktivieren:

SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!EDH:!3DES:!ADH

am ende sollte es dann so in etwa aussehen:

SSLProtocol TLSv1
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!EDH:!3DES:!ADH

Zusätzlich gibt es noch ein nettes Apache2 Addon namens Strict Transport Security (HSTS), welches einem Angreifer erschwert, einen Nutzer von einer HTTPS gesicherten auf eine ungesicherte Seite der gleichen Domain umzuleiten. Das Addon sagt dem Browser, dass er die nächsten 365 Tage die Domain XXX nur noch über HTTPS aufrufen soll.

Modul aktivieren:

a2enmod headers

Nun den HSTS-Header in den dementsprechenden VirtualHost eintragen, wie z.B. hier:

ServerAdmin test@testo.de
DocumentRoot /var/www
Header always set Strict-Transport-Security "max-age=31536000"

Die Dauer kann man über den Wert „max-age“ in Sekunden einstellen!

Überprüfen kann man später alles mit folgender Webseite: https://www.ssllabs.com/ssltest/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert