[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[InetBib] SSL Web-Servereinstellungen
Liebe Liste,
dass man den Login-Bereich eines Online-Katalog inzwischen per https://
zugänglich machen sollte, um eine verschlüsselte Verbindung zwischen
Server und Client zu ermöglichen, weiß jeder.
Aber dass bei dem Verbindungsaufbau der Client und der Server viele
Parameter bezüglich der Kommunikation aushandeln, ist weniger bekannt
und dass einige der potentiell möglichen Varianten verwundbar/unsicher
sind, noch wenigeren.
Wer die SSL-Konfiguration seines Web-Servers mal überprüfen möchte, kann
auf einen freien Dienst wie https://www.ssllabs.com/ssltest/
zurückgreifen. Der Test dort und der anschließende Report sind sehr
detailliert und aufschlussreich.
Bei der Überarbeitung und Optimierung der Apache-Webservereinstellungen
in Richtung "perfect forward secrecy" (ein derzeit angepriesene
Sicherheitsmethode) bin ich in einem Blog
(http://stackoverflow.com/questions/17308690/how-do-i-enable-perfect-forward-secrecy-by-default-on-apache)
fündig geworden.
Die folgenden Konfig-Zeilen ermöglichen beim Apache-Webserver (ab
Version 2.2.x) ein höheres SSL-Sicherheitsniveau. Vielleicht ist diese
Konfiguration für den einen oder anderen Systemverantwortlichen hilfreich:
SSLProtocol all -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite
EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:EECDH+AES256:EDH+AES256:AES256-SHA:!aNULL:!eNULL:!EXP:!L
OW:!MD5
Grundidee ist, dass man sichere Protokolle zuerst anbietet und unsichere
unterbindet.
Viele Grüße
Andreas Bohne-Lang
--
http://www.inetbib.de
Listeninformationen unter http://www.inetbib.de.