Wer die Verschlüsselungssicherheit erhöhren möchte und dabei auf Kompatibilität mit alten Anwendungen verzichten möchte, der kann die folgende Konfiguration vornehmen:
Aktivieren des Apache2 Moduls Headers mit (in einer Shell mit root-rechten oder mit sudo):
sudo a2enmod headers
Danach die ssl.conf (z.B. unter Debian unter /etc/apache2/mods-aviable) anpassen um die folgenden Zeilen bzw. existierende entsprechend anpassen:
SSLCipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256:EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
SSLSessionTickets Off
Anschließend mit root-rechten die Konfiguration prüfen:
apachectl -t
Und dann Apache neustarten:
apachectl restart
Anschließend könnt ihr mit SSL Testingsites (z.b. https://www.ssllabs.com/ssltest/) die Konfiguration prüfen.
Weitere Links:
- https://www.ssllabs.com/ssltest/
- https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html
- https://cipherli.st/
- https://www.kuketz-blog.de/nsa-abhoersichere-ssl-verschluesselung-fuer-apache-und-nginx/
Tipp: Mit dem Editor Nano können sie über eine SSH Shell Copy & Paste nuzten.
Windows Server könnt ihr mit dem Tool IISCrypto.exe sichern – zu finden hier: https://www.nartac.com/Products/IISCrypto
