Von PaulRiegel vor mehr als 8 Jahren hinzugefügt. Vor mehr als 4 Jahren aktualisiert.
0%
Beschreibung
Bei Test, etwa wie bei https://www.ssllabs.com/ssltest/ , sollten wir ein hohes Niveau anstreben. Dann lasst uns mal daran frickeln, oder?
Ich erhielt gerade den Hinweis (Verweis):
nice ... wenn du noch Zeit hast die Config zu optimieren, evtl. helfen
Vielleicht kann uns das helfen.
Apache Konfiguration bei idelta.informatik.htw-dresden.de https://www.ssllabs.com/ssltest/analyze.html?d=idelta.informatik.htw-dresden.de
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
# Kein robustes Forward Secrecy
SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:
EECDH+ECDSA:EECDH:EDH+AESGCM:EDH:ECDH+AESGCM:ECDH+AES:
ECDH:HIGH:MEDIUM:!RC4:!3DES:!CAMELLIA:!SEED:!aNULL:!MD5:
!eNULL:!LOW:!EXP:!DSS:!PSK:!SRP:!DH+aRSA
# Robustes Forward Secrecy mit selbst erstellten DH Parametern
# ab Apache Version 2.4.7
#SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:
# EECDH+ECDSA:EECDH:EDH+AESGCM:EDH:ECDH+AESGCM:ECDH+AES:
# ECDH:HIGH:MEDIUM:!RC4:!3DES:!CAMELLIA:!SEED:!aNULL:!MD5:
# !eNULL:!LOW:!EXP:!DSS:!PSK:!SRP
SSLCertificateFile /etc/apache2/ssl/idelta.pem
SSLCertificateKeyFile /etc/apache2/ssl/idelta.key
# bei selbst signierten Zertifikat
SSLCertificateChainFile /etc/apache2/ssl/idelta.crt
# CA Paket Zertifkat Signierung einer CA
#SSLCertificateChainFile /etc/apache2/ssl/ca-bundle.crt
<IfModule mod_headers.c>
Header always set Strict-Transport-Security ``max-age=15768000; includeSubdomains; preload''
</IfModule>
vllt erleichtert dies die Konfiguration :)
Falls ihr lets encrypt verwendet ist der link https://github.com/stura-htw-dresden/htw-crt-creator weniger relevant.