{"id":4393,"date":"2014-12-10T06:15:06","date_gmt":"2014-12-10T05:15:06","guid":{"rendered":"https:\/\/www.bdjl.de\/localhost\/?p=4393"},"modified":"2014-12-09T18:38:12","modified_gmt":"2014-12-09T17:38:12","slug":"ssl-apache-komfort-und-sicherheit-iii","status":"publish","type":"post","link":"https:\/\/www.bdjl.de\/localhost\/?p=4393","title":{"rendered":"SSL, Apache, Komfort und Sicherheit III"},"content":{"rendered":"

Der Weg zu einem A-Rating bei SSL-Labs ist steinig. Wie hier<\/a> und da<\/a> und dort<\/a> schon geschrieben: Kompatibilit\u00e4t und Sicherheit lassen sich mit den folgenden Zeilen in der ssl.conf des Apache ganz ordentlich verwirklichen:<\/p>\n

SSLHonorCipherOrder on\r\nSSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS<\/pre>\n
wenn man den Key richtig erstellt hat – z.B. damit:<\/p>\n
openssl req -new -nodes -sha256 -keyout server.key -out server.csr -newkey rsa:4096<\/pre>\n
Was SSL Labs dann noch zu mockieren hatte, war die Key Chain, die unsichere Elemente enthielt und zum folgenden Rating f\u00fchrte:<\/p>\n
\"1_kvfgeu\"<\/a><\/p>\n
Die Keychain l\u00e4sst sich jedoch einfach umbauen: Ein<\/p>\n
wget https:\/\/www.startssl.com\/certs\/class1\/sha2\/pem\/sub.class1.server.sha2.ca.pem<\/pre>\n
holt die intermedi\u00e4ren Zertifikate im richtigen Format an Bord. Und die folgenden Zeilen in der Apache default-ssl.conf<\/p>\n
SSLCertificateChainFile \/etc\/apache2\/ssl\/startssl\/sub.class1.server.sha2.ca.pem\r\nSSLCACertificateFile \/etc\/apache2\/ssl\/startssl\/ca.pem # unver\u00e4ndert<\/pre>\n
zusammen mit einem<\/p>\n
service apache2 restart<\/pre>\n
schalten diese scharf. Dann erreicht man das folgende Rating bei SSL Labs:<\/p>\n
\"2_kvfgeu\"<\/a><\/p>\n
Hinweise und Links hier<\/a> im StartSSL Forum.<\/p>\n
In den Weihnachtsferien kommen dann die anderen Domains mit dickeren Keys dran. Bis dahin ist schlicht Land unter und au\u00dferdem muss ich bei StartSSL warten, bis das Zertifikat fast abgelaufen ist, will ich keinen revocation Prozess beginnen, der teuer ist.<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Weg zu einem A-Rating bei SSL-Labs ist steinig. Wie hier und da und dort schon geschrieben: Kompatibilit\u00e4t und Sicherheit lassen sich mit den folgenden Zeilen in der ssl.conf des Apache ganz ordentlich verwirklichen: SSLHonorCipherOrder on SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS wenn man den Key richtig erstellt hat – z.B. damit: openssl req -new -nodes -sha256 -keyout server.key […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,10],"tags":[340,453,349,140],"class_list":["post-4393","post","type-post","status-publish","format-standard","hentry","category-linux","category-schule","tag-apache","tag-ssl","tag-startssl","tag-verschlusselung"],"_links":{"self":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4393"}],"version-history":[{"count":2,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4393\/revisions"}],"predecessor-version":[{"id":4398,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4393\/revisions\/4398"}],"wp:attachment":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}