Apache – SSLv3 und schwache Cipher deaktivieren

Nach all den aufgekommen Sicherheitslücken ist es eigentlich schon zwingend erforderlich, die unsicheren Funktionen eines Webservers abzuschalten – nicht nur für sich selbst, sondern vor allem für die Besucher.
Schließlich möchte keiner durch die Nachlässigkeit eines anderen benachteiligt oder sogar geschädigt werden.

In diesem Artikel zeige ich, wie man im am verbreitetsten Webserver „Apache“ die unsicheren Cipher sowie SSLv2 und -3 deaktiviert.
In diesem Artikel zeige ich das Ganze auch nochmal für den Microsoft IIS.

Um nun den Apache abzusichern gehen wir wie folgt vor:

Zuerst begeben wir uns in das Apache Konfigurationsverzeichnis unter /etc/apache2.

Dort angekommen bearbeiten wir die apache2.conf und fügen an das Ende der Datei folgendes ein:

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

Anschließend starten wir den Apachen neu:

sudo service apache2 restart

Ob nun der Server nur die sicheren Cipher zulässt und kein SSLv2/3 mehr verwendet kannst du am besten mit diesem Test herausfinden:

Qualys SSL Server Test

Hierbei wird auch gleich dein installiertes Zertifikat inkl. Chain überprüft und somit evtl. versteckte Fehler aufgedeckt.



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.