Nach all den aufgekommen Sicherheitslücken ist es eigentlich schon zwingend erforderlich, die unsicheren Funktionen eines Webservers abzuschalten – nicht nur für sich selbst, sondern vor allem für die Besucher.
Schließlich möchte keiner durch die Nachlässigkeit eines anderen benachteiligt oder sogar geschädigt werden.
In diesem Artikel zeige ich, wie man im am verbreitetsten Webserver „Apache“ die unsicheren Cipher sowie SSLv2 und -3 deaktiviert.
In diesem Artikel zeige ich das Ganze auch nochmal für den Microsoft IIS.
Um nun den Apache abzusichern gehen wir wie folgt vor:
Zuerst begeben wir uns in das Apache Konfigurationsverzeichnis unter /etc/apache2.
Dort angekommen bearbeiten wir die apache2.conf und fügen an das Ende der Datei folgendes ein:
SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
Anschließend starten wir den Apachen neu:
sudo service apache2 restart
Ob nun der Server nur die sicheren Cipher zulässt und kein SSLv2/3 mehr verwendet kannst du am besten mit diesem Test herausfinden:
Hierbei wird auch gleich dein installiertes Zertifikat inkl. Chain überprüft und somit evtl. versteckte Fehler aufgedeckt.