1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Verschlüsselung: Poodle kann auch…

Wie sichere ich meinen Webserver also ab?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie sichere ich meinen Webserver also ab?

    Autor: zipper5004 09.12.14 - 08:29

    Ich generiere mir meine eigenen Schlüssel über openssl:
    openssl genrsa -out my.domain.key 4096 -subj '/O=Company/OU=Department/CN=my.domain'

    #Zertifikatsanfrage
    openssl req -new -key my.domain.key -out my.domain.csr -sha512 -subj '/O=Company/OU=Department/CN=my.domain.de'

    #und das Zertifikat
    openssl x509 -req -in my.domain.csr -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial -out my.domain.crt -days 365 -sha512

    Die Zertifikatsanfrage deswegen, weil ich dann selbsteerstellte Zertifitikate auf verifizieren kann.

    Im Apachen habe ich dann folgendes eingestellt:
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA382 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4!aNULL! eNULL !LOW !3DES !MD5 !EMP !PSK !SRP !DSS !AECDH"

    Bei einigen subdomains setze ich Zertifikate von startssl ein, welche leider nur SHA1 einsetzen.

  2. Re: Wie sichere ich meinen Webserver also ab?

    Autor: nomnomnom 09.12.14 - 09:01

    ich hab einfach ein "!RC4" hinten angehängt.

  3. Re: Wie sichere ich meinen Webserver also ab?

    Autor: slashwalker 09.12.14 - 09:42

    nomnomnom schrieb:
    --------------------------------------------------------------------------------
    > ich hab einfach ein "!RC4" hinten angehängt.


    Ist zwar kein Apache aber ich habe diese Kombi:
    ssl_ciphers 'AES256+EECDH:AES256+EDH';

    Damit bekomme ich ein A+ mit 100-95-100-100
    https://www.ssllabs.com/ssltest/analyze.html?d=southside-crew.com

  4. Re: Wie sichere ich meinen Webserver also ab?

    Autor: RipClaw 09.12.14 - 11:12

    slashwalker schrieb:
    --------------------------------------------------------------------------------
    > nomnomnom schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ich hab einfach ein "!RC4" hinten angehängt.
    >
    > Ist zwar kein Apache aber ich habe diese Kombi:
    > ssl_ciphers 'AES256+EECDH:AES256+EDH';
    >
    > Damit bekomme ich ein A+ mit 100-95-100-100
    > www.ssllabs.com

    Wenn man nicht auf Kompatibilität achten muss dann kann man das sicher machen.
    Ich verwende die empfohlene CipherSuite von Mozilla:

    https://wiki.mozilla.org/Security/Server_Side_TLS

    Damit schaffe ich auch ein A+. Als Server kommt ein Apache 2.2 unter Debian 7 zum Einsatz.

  5. Re: Wie sichere ich meinen Webserver also ab?

    Autor: slashwalker 09.12.14 - 12:01

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > slashwalker schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > nomnomnom schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > ich hab einfach ein "!RC4" hinten angehängt.
    > >
    > >
    > > Ist zwar kein Apache aber ich habe diese Kombi:
    > > ssl_ciphers 'AES256+EECDH:AES256+EDH';
    > >
    > > Damit bekomme ich ein A+ mit 100-95-100-100
    > > www.ssllabs.com
    >
    > Wenn man nicht auf Kompatibilität achten muss dann kann man das sicher
    > machen.
    > Ich verwende die empfohlene CipherSuite von Mozilla:
    >
    > wiki.mozilla.org
    >
    > Damit schaffe ich auch ein A+. Als Server kommt ein Apache 2.2 unter Debian
    > 7 zum Einsatz.

    Kompatibilität? Bei mir fallen IE 6 / IE 8 unter XP raus, sowie Android 2.3.7
    Die können mit HTML5/CSS3 sowieso nichts anfangen. Und die 3 Java Clients jucken mich auch nicht. Also ich sehe da jetzt kein wirkliches Problem. Dramatischer wäre, wenn ich TLSv1.0 abschalten würde.

  6. Re: Wie sichere ich meinen Webserver also ab?

    Autor: crest42 09.12.14 - 12:18

    startssl kann allerdings auch sha2. Die entsprechenden ICAs findest du hier:
    http://www.startssl.com/certs/class1/sha2/pem/

  7. https://cipherli.st/

    Autor: jalogisch 09.12.14 - 12:45

    Nutze doch https://cipherli.st/ - da kannst du dir anschauen wie du das ganze möglichst sicher machst für unterschiedliche Webserver.

  8. Re: Wie sichere ich meinen Webserver also ab?

    Autor: RipClaw 09.12.14 - 14:30

    slashwalker schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > slashwalker schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > nomnomnom schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > ich hab einfach ein "!RC4" hinten angehängt.
    > > >
    > > >
    > > > Ist zwar kein Apache aber ich habe diese Kombi:
    > > > ssl_ciphers 'AES256+EECDH:AES256+EDH';
    > > >
    > > > Damit bekomme ich ein A+ mit 100-95-100-100
    > > > www.ssllabs.com
    > >
    > > Wenn man nicht auf Kompatibilität achten muss dann kann man das sicher
    > > machen.
    > > Ich verwende die empfohlene CipherSuite von Mozilla:
    > >
    > > wiki.mozilla.org
    > >
    > > Damit schaffe ich auch ein A+. Als Server kommt ein Apache 2.2 unter
    > Debian
    > > 7 zum Einsatz.
    >
    > Kompatibilität? Bei mir fallen IE 6 / IE 8 unter XP raus, sowie Android
    > 2.3.7
    > Die können mit HTML5/CSS3 sowieso nichts anfangen. Und die 3 Java Clients
    > jucken mich auch nicht. Also ich sehe da jetzt kein wirkliches Problem.
    > Dramatischer wäre, wenn ich TLSv1.0 abschalten würde.

    Zumindestens der IE8 unter XP spielt bei mir durchaus noch eine Rolle. Jetzt nicht für meine eigenen Seiten aber bei Kunden die es mit Besuchern von Firmen zu tun haben die nicht gerade auf dem neuesten Stand sind.

    Auch die Java Kompatiblität ist für mich nicht unerheblich da ich es auch teilweise mit SOAP Clients zu tun habe die in Java geschrieben sind.

    Als ich neulich bei einem Server SSLv3 durchgehend in allen Serverdiensten abgeschaltet habe ist ein Kunde aufgeschlagen der noch eine etwas ältere Version vom Pegasus Mail verwendet hat. Das konnte nur SSLv3.

    Man wünscht sich zwar das die Nutzer alles auf dem neuesten Stand haben aber die Realität sieht leider anders aus.

  9. Re: Wie sichere ich meinen Webserver also ab?

    Autor: slashwalker 10.12.14 - 09:34

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > slashwalker schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RipClaw schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > slashwalker schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > nomnomnom schrieb:
    > > > >
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > >
    > > > > -----
    > > > > > ich hab einfach ein "!RC4" hinten angehängt.
    > > > >
    > > > >
    > > > > Ist zwar kein Apache aber ich habe diese Kombi:
    > > > > ssl_ciphers 'AES256+EECDH:AES256+EDH';
    > > > >
    > > > > Damit bekomme ich ein A+ mit 100-95-100-100
    > > > > www.ssllabs.com
    > > >
    > > > Wenn man nicht auf Kompatibilität achten muss dann kann man das sicher
    > > > machen.
    > > > Ich verwende die empfohlene CipherSuite von Mozilla:
    > > >
    > > > wiki.mozilla.org
    > > >
    > > > Damit schaffe ich auch ein A+. Als Server kommt ein Apache 2.2 unter
    > > Debian
    > > > 7 zum Einsatz.
    > >
    > > Kompatibilität? Bei mir fallen IE 6 / IE 8 unter XP raus, sowie Android
    > > 2.3.7
    > > Die können mit HTML5/CSS3 sowieso nichts anfangen. Und die 3 Java
    > Clients
    > > jucken mich auch nicht. Also ich sehe da jetzt kein wirkliches Problem.
    > > Dramatischer wäre, wenn ich TLSv1.0 abschalten würde.
    >
    > Zumindestens der IE8 unter XP spielt bei mir durchaus noch eine Rolle.
    > Jetzt nicht für meine eigenen Seiten aber bei Kunden die es mit Besuchern
    > von Firmen zu tun haben die nicht gerade auf dem neuesten Stand sind.
    >
    > Auch die Java Kompatiblität ist für mich nicht unerheblich da ich es auch
    > teilweise mit SOAP Clients zu tun habe die in Java geschrieben sind.
    >
    > Als ich neulich bei einem Server SSLv3 durchgehend in allen Serverdiensten
    > abgeschaltet habe ist ein Kunde aufgeschlagen der noch eine etwas ältere
    > Version vom Pegasus Mail verwendet hat. Das konnte nur SSLv3.
    >
    > Man wünscht sich zwar das die Nutzer alles auf dem neuesten Stand haben
    > aber die Realität sieht leider anders aus.

    Klar, auf Servern mit kommerziellen Seiten kannst sowas nicht bringen. Aber die Konfig stammt von meinem Server, auf dem läuft außer unserer Club Seite nichts anderes.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. kubus IT GbR, verschiedene Standorte
  2. operational services GmbH & Co. KG, Dresden, Berlin, Frankfurt am Main
  3. Hays AG, Berlin
  4. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (bis 21. Januar)
  2. (u. a. Overcooked! 2 für 11,50€, The Survivalists für 18,74€, Worms Armageddon für 7,50€)
  3. 15,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Moodle: Was den Lernraum Berlin in die Knie zwang
Moodle
Was den Lernraum Berlin in die Knie zwang

Eine übermäßig große Datenbank und schlecht optimierte Abfragen in Moodle führten zu Ausfällen in der Online-Lernsoftware.
Eine Recherche von Hanno Böck


    USA: Die falsche Toleranz im Silicon Valley muss endlich aufhören
    USA
    Die falsche Toleranz im Silicon Valley muss endlich aufhören

    Github wirft einen Juden raus, der vor Nazis warnt, weil das den Betrieb stört. Das ist moralisch verkommen - wie üblich im Silicon Valley.
    Ein IMHO von Sebastian Grüner

    1. CES 2021 So geht eine Messe in Pandemie-Zeiten
    2. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona
    3. CD Projekt Red Crunch trifft auf Cyberpunk 2077

    Donald Trump: Das große Unbehagen nach der Twitter-Sperre
    Donald Trump
    Das große Unbehagen nach der Twitter-Sperre

    Die IT-Konzerne gehen wie in einer konzertierten Aktion gegen Donald Trump und dessen Anhänger vor. Ist das vertretbar oder ein gefährlicher Präzedenzfall?
    Eine Analyse von Friedhelm Greis

    1. Reaktion auf Kapitol-Sturm Youtube sperrt Trump-Kanal für mindestens eine Woche
    2. US-Wahlen Facebook erwägt dauerhafte Sperre Trumps
    3. Social Media Amazon schaltet Parler die Server ab