SSL Einstellungen auf dem Apache (Drown)

By | 5. März 2016

Das Thema SSL mit Let’s Encrypt werde ich zwar erst in einem später Blogeintrag thematisieren, aber durch die aktuelle Problematik wegen DROWN, schreibe hier doch mal etwas zum Thema SSL.

Viele Webserver die im Netz verfügbar sind, sind leider mehr als suboptimal konfiguriert, was nun gerade durch das beeindruckende DROWN-Problem und dem Anbieter Server4You mehr als deutlich wird.

Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) sind alleine in Deutschland 245.000 IPs betroffen.

Wenn man nun eine Seite mit SSL betreibt, sollte man sie zumindest einmal prüfen lassen, ob der Webserver wirklich richtig konfiguriert ist.
Einen kostenlosen und mehr als umfangreichen Test gibt es bei: Qualys SSL Labs

Aber zunächst einmal frisch ans Werk 🙂

Um das Drown-Problem zu lösen, ändert man in seiner ssl.conf im Apachen die Zeile mit dem SSLProtocol wie folgt ab:

Dazu noch in der selben Datei die default Zeile SSLCipherSuite wie folgt

abändern und schon hat man mit dieser kleinen Änderung, gefolgt von einem

das Drown-Problem gelöst.

 

Wem nun noch seine CypherSuites wichtig sind, weil Qualys SSL Labs, die Seite nur als A- einstuft, kann mit der folgenden Änderung in der ssl.conf

seine Probleme lösen.

 

Mehr zum Thema Zertifikate kommt demnächst, wenn ich über Let’s Encrypt schreibe. 🙂

Kommentar verfassen