Bereich Administration Rechentechnik

Ich erhielt gerade den Hinweis (Verweis):

nice ... wenn du noch Zeit hast die Config zu optimieren, evtl. helfen

• https://wiki.fysik.dtu.dk/it/SSL_best_practices
• https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/

Vielleicht kann uns das helfen.

Apache Konfiguration bei idelta.informatik.htw-dresden.de https://www.ssllabs.com/ssltest/analyze.html?d=idelta.informatik.htw-dresden.de

    SSLProtocol all -SSLv2 -SSLv3
    SSLHonorCipherOrder on
    # Kein robustes Forward Secrecy
    SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:
        EECDH+ECDSA:EECDH:EDH+AESGCM:EDH:ECDH+AESGCM:ECDH+AES:
        ECDH:HIGH:MEDIUM:!RC4:!3DES:!CAMELLIA:!SEED:!aNULL:!MD5:
        !eNULL:!LOW:!EXP:!DSS:!PSK:!SRP:!DH+aRSA
    # Robustes Forward Secrecy mit selbst erstellten DH Parametern
    # ab Apache Version 2.4.7
    #SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:
    #    EECDH+ECDSA:EECDH:EDH+AESGCM:EDH:ECDH+AESGCM:ECDH+AES:
    #    ECDH:HIGH:MEDIUM:!RC4:!3DES:!CAMELLIA:!SEED:!aNULL:!MD5:
    #    !eNULL:!LOW:!EXP:!DSS:!PSK:!SRP
    SSLCertificateFile /etc/apache2/ssl/idelta.pem
    SSLCertificateKeyFile /etc/apache2/ssl/idelta.key
    # bei selbst signierten Zertifikat
    SSLCertificateChainFile /etc/apache2/ssl/idelta.crt
    # CA Paket Zertifkat Signierung einer CA
    #SSLCertificateChainFile /etc/apache2/ssl/ca-bundle.crt

    <IfModule mod_headers.c>
        Header always set Strict-Transport-Security ``max-age=15768000; includeSubdomains; preload''
    </IfModule>

vllt erleichtert dies die Konfiguration :)

Falls ihr lets encrypt verwendet ist der link https://github.com/stura-htw-dresden/htw-crt-creator weniger relevant.