Alle Dienste auf crypto umgestellt

Nachdem jetzt der Apache gute Crypto macht, hab ich jetzt alle Dienste geprüft. Bettercrypto hat hier sehr viel geholfen. Es sollten jetzt alle Dienste diesem Bild folgen:

https und HSTS

Der Server ist nur noch über https zu erreichen. Der SSLLabs Test zeigt erfreuliches 🙂

Testergebnis schorsch-tech.de

Ihr könnt eure Server unter SSLLabs testen. Ihr könnt hier auch euer Ergebnis veröffentlichen oder verbergen.

Wie erreicht man A+?

Im Prinzip über die Wahl der Cipher und die Protokolle.

Das hier sind meine Cipher:

SSLCipherSuite “EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS”

Ganz wichtig ist:

• kein RC4 (!RC4)
• EECDH (Diffie Hellman)
• ein guter Hash Algorithmus (SHA256 und besser)
• Diffie Hellman Parameter > 1024 Bit
• ein gültiges und unterschriebenes Zertifikat

Mit diesen Ciphers können aber alter Browser auf alten Betriebssystemen Probleme haben. Insbesonders Win XP + IE6. Auch Java6 basierte Anwendungen können Probleme bekommen. SSLLabs gibt hier aber auch Ratschläge in den Dokus und den FAQs.

Aktivieren von HSTS

In jedem https vhost muss das der Header eingetragen werden:

	# HSTS
	Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Euer Apache braucht hierfür das Modul mod_header. Der http vhost muss auf den https vhost umleiten.

define sname www.schorsch-tech.de

<VirtualHost *:80>
	ServerName ${sname}
	ServerAdmin webmaster@schorsch-tech.de
	RewriteEngine On

	<Location />
		Require all granted
		Redirect permanent / https://${sname}/
	</Location>
</VirtualHost>

<VirtualHost *:443>
	ServerName ${sname}

        # HSTS
        Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
....