Der Weg zu einem A-Rating bei SSL-Labs ist steinig. Wie hier und da und dort schon geschrieben: Kompatibilität und Sicherheit lassen sich mit den folgenden Zeilen in der ssl.conf des Apache ganz ordentlich verwirklichen:
SSLHonorCipherOrder on
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
wenn man den Key richtig erstellt hat – z.B. damit:
openssl req -new -nodes -sha256 -keyout server.key -out server.csr -newkey rsa:4096
Was SSL Labs dann noch zu mockieren hatte, war die Key Chain, die unsichere Elemente enthielt und zum folgenden Rating führte:
Die Keychain lässt sich jedoch einfach umbauen: Ein
wget https://www.startssl.com/certs/class1/sha2/pem/sub.class1.server.sha2.ca.pem
holt die intermediären Zertifikate im richtigen Format an Bord. Und die folgenden Zeilen in der Apache default-ssl.conf
SSLCertificateChainFile /etc/apache2/ssl/startssl/sub.class1.server.sha2.ca.pem
SSLCACertificateFile /etc/apache2/ssl/startssl/ca.pem # unverändert
zusammen mit einem
service apache2 restart
schalten diese scharf. Dann erreicht man das folgende Rating bei SSL Labs:
Hinweise und Links hier im StartSSL Forum.
In den Weihnachtsferien kommen dann die anderen Domains mit dickeren Keys dran. Bis dahin ist schlicht Land unter und außerdem muss ich bei StartSSL warten, bis das Zertifikat fast abgelaufen ist, will ich keinen revocation Prozess beginnen, der teuer ist.