[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[InetBib] SSL Web-Servereinstellungen



Liebe Liste,

dass man den Login-Bereich eines Online-Katalog inzwischen per https:// zugänglich machen sollte, um eine verschlüsselte Verbindung zwischen Server und Client zu ermöglichen, weiß jeder.

Aber dass bei dem Verbindungsaufbau der Client und der Server viele Parameter bezüglich der Kommunikation aushandeln, ist weniger bekannt und dass einige der potentiell möglichen Varianten verwundbar/unsicher sind, noch wenigeren.

Wer die SSL-Konfiguration seines Web-Servers mal überprüfen möchte, kann auf einen freien Dienst wie https://www.ssllabs.com/ssltest/ zurückgreifen. Der Test dort und der anschließende Report sind sehr detailliert und aufschlussreich.

Bei der Überarbeitung und Optimierung der Apache-Webservereinstellungen in Richtung "perfect forward secrecy" (ein derzeit angepriesene Sicherheitsmethode) bin ich in einem Blog (http://stackoverflow.com/questions/17308690/how-do-i-enable-perfect-forward-secrecy-by-default-on-apache) fündig geworden.

Die folgenden Konfig-Zeilen ermöglichen beim Apache-Webserver (ab Version 2.2.x) ein höheres SSL-Sicherheitsniveau. Vielleicht ist diese Konfiguration für den einen oder anderen Systemverantwortlichen hilfreich:


SSLProtocol all -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:EECDH+AES256:EDH+AES256:AES256-SHA:!aNULL:!eNULL:!EXP:!L
OW:!MD5

Grundidee ist, dass man sichere Protokolle zuerst anbietet und unsichere unterbindet.

Viele Grüße

Andreas Bohne-Lang

--
http://www.inetbib.de


Listeninformationen unter http://www.inetbib.de.