[InetBib] SSL Web-Servereinstellungen

["Bohne-Lang, Andreas" <andreas.bohne-lang@xxxxxxxxxxxxxxxxxxxxxxx>]

Liebe Liste,

dass man den Login-Bereich eines Online-Katalog inzwischen per https:// 
zugänglich machen sollte, um eine verschlüsselte Verbindung zwischen 
Server und Client zu ermöglichen, weiß jeder.

Aber dass bei dem Verbindungsaufbau der Client und der Server viele 
Parameter bezüglich der Kommunikation aushandeln, ist weniger bekannt 
und dass einige der potentiell möglichen Varianten verwundbar/unsicher 
sind, noch wenigeren.

Wer die SSL-Konfiguration seines Web-Servers mal überprüfen möchte, kann 
auf einen freien Dienst wie https://www.ssllabs.com/ssltest/ 
zurückgreifen. Der Test dort und der anschließende Report sind sehr 
detailliert und aufschlussreich.

Bei der Überarbeitung und Optimierung der Apache-Webservereinstellungen 
in Richtung "perfect forward secrecy" (ein derzeit angepriesene 
Sicherheitsmethode) bin ich in einem Blog 
(http://stackoverflow.com/questions/17308690/how-do-i-enable-perfect-forward-secrecy-by-default-on-apache) 
fündig geworden.

Die folgenden Konfig-Zeilen ermöglichen beim Apache-Webserver (ab 
Version 2.2.x) ein höheres SSL-Sicherheitsniveau. Vielleicht ist diese 
Konfiguration für den einen oder anderen Systemverantwortlichen hilfreich:


SSLProtocol all -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite 
EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:EECDH+AES256:EDH+AES256:AES256-SHA:!aNULL:!eNULL:!EXP:!L
OW:!MD5

Grundidee ist, dass man sichere Protokolle zuerst anbietet und unsichere 
unterbindet.

Viele Grüße

Andreas Bohne-Lang

--
http://www.inetbib.de