SSL Zertifikat Bewertung - A+

  • Thread starter Thread starter Gast[200516]
  • Start date Start date
G

Gast[200516]

Guest
Hallo liebe Community,

Ich habe einen vServer und möchte meine Websites (mehrere, unterschiedliche Domains) mit SSL absichern. Hierfür verwende ich Zertifikate von verschiedenen Stellen: RapidSSL, WoSign etc.

System: Ubuntu 14.10 LTS, Plesk 12, Apache

Problem: Zertifikat war zunächst als C bei SSLLabs angezeigt. Nachdem ich SSLv3 deaktiviert hatte und die Chipir Suite umgestellt hatte, kam ich nun auf A-. Mein Ziel ist A+.

Im Netz habe ich keine Anleitung gefunden. Daher nun meine Frage:

-Welche ist die "optimalste" Chipir Suite (es gibt ja zwei Einträge mit dem Namen ChipirSuite in Apache. Wo muss was rein?)

-Wie aktiviere ich Forward Secrecy (für A)

-Was hat es mit SNI auf sich, und wie nehme ich eine entsprechende Konfiguration vor.

Ich hoffe Ihr könnt mir helfen!
 
Ich kopier einfach mal meine Apache (2.4) Konfig

Code: 
<IfModule mod_ssl.c>
	SSLProtocol all -SSLv2 -SSLv3
	SSLCompression off
	SSLHonorCipherOrder On
	SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK"
	SSLUseStapling On
	SSLStaplingResponderTimeout 5
	SSLStaplingReturnResponderErrors off
	SSLStaplingCache shmcb:/var/run/ocsp(128000)
	<IfModule mod_headers.c>
		Header always set Strict-Transport-Security "max-age=15768000"
	</IfModule>
</IfModule>
Der Unterschied von A zu A+ ist übrigens nur Strict-Transport-Security. Sagt dem Browser er soll für diese Zeitspanne immer https benutzen.

SNI ist eine Erweiterung des SSL Protokolls und wird von jedem Modernen Server/Client (außer IIS glaube ich) unterstützt. Es bedeutet schlicht das mehrere Zertifikate per IP eingesetzt werden können.
 
Last edited by a moderator:
Erläuterungen findest Du in http://httpd.apache.org/docs/2.4/en/mod/mod_ssl.html
Code: 
<IfModule ssl_module>
    Listen 443
    SSLRandomSeed startup file:/dev/urandom 65536
    SSLRandomSeed connect file:/dev/urandom 65536
    SSLPassPhraseDialog builtin
    <IfModule socache_shmcb_module>
        SSLSessionCache "shmcb:/var/run/ssl_scache(512000)"
    </IfModule>
    <IfModule !socache_shmcb_module>
        <IfModule socache_dbm_module>
            SSLSessionCache "dbm:/var/run/ssl_scache"
        </IfModule>
        <IfModule !socache_dbm_module>
            SSLSessionCache "nonenotnull"
        </IfModule>
    </IfModule>
    SSLSessionTickets Off
    SSLHonorCipherOrder On
    SSLStrictSNIVHostCheck On
    SSLOptions +StrictRequire +StdEnvVars
    SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite "EECDH+CHACHA20 EECDH+AESGCM EECDH+AES256 EECDH+AES128 EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 !RC4 !eNULL !aNULL !MEDIUM !LOW !EXP"
    SSLOCSPEnable On
    <IfModule socache_shmcb_module>
        SSLUseStapling On
        SSLStaplingCache "shmcb:/var/run/stapling_cache(128000)"
    </IfModule>
    <IfModule !socache_shmcb_module>
        <IfModule socache_dbm_module>
            SSLUseStapling On
            SSLStaplingCache "dbm:/var/run/stapling_cache"
        </IfModule>
        <IfModule !socache_dbm_module>
            SSLUseStapling Off
        </IfModule>
    </IfModule>
</IfModule>
 
MadMakz said:
Der Unterschied von A zu A+ ist übrigens nur Strict-Transport-Security.
Click to expand...
Nicht unbedingt. Es gibt diverse Gründe für Abwertungen. Z.B. wenn die Intermediate-CA nur mit SHA-1 signiert ist (wie den StartSSL-Zertifikaten, die ich einsetze).
Daher empfiehlt es sich, den Audit-Report von SSL-Labs genauer zu studieren. Dieser listet alle Abwertungen detailliert auf.
Wenn der TE den Audit-Report nicht selbst interpretieren kann, empfehle ich einen Link dazu hier zu posten.
 
Zu StartSSL und SHA1 würde ich noch gerne ergänzen (relevant für Elias und evtl. auch andere), dass es deren intermediate Certs auch mit SHA2 gibt (egal welche cert class).
Leider ist im "normalen" Downloadbundle immer noch das normale SHA1 Cert enthalten.

Die Certs mit SHA2 gibt es hier:
https://www.startssl.com/certs/class1/sha2/pem/
 
Tatsächlich muss man STS auf mindestens 180 Tage setzen für das +

@Joe User, Orebor: Danke für euren Input.
 

Attachments

  • Screenshot 2015-08-31 11.25.28.png
    Screenshot 2015-08-31 11.25.28.png
    76.8 KB · Views: 120
Danke!

Hallo liebe Community,

Mit der Config von @MadMakz hab ich ein A+ geschafft. Ganz ohne Probleme ;) Vielen Lieben dank für die tolle Unterstützung die dieses Forum bietet :)

Eine Frage noch:

Chrome zeigt mir folgende Info an:
(siehe zert.png)

Warum "veraltete Kryptographie"? Das klingt doch für Besucher unsicher, oder?

Liebe Grüße
 

Attachments

  • zert.PNG
    zert.PNG
    32.5 KB · Views: 118
Versuch mal die Cyphers von Joe User. Damit bekomme ich angezeigt dass eine moderne Cypher Suite verwendet wird.
 

Attachments

  • Screenshot 2015-08-31 15.39.35.png
    Screenshot 2015-08-31 15.39.35.png
    63 KB · Views: 96
Last edited by a moderator:
Ich habe einmal einfach die ganze Config von Joe User probiert. Diese wurde mit einem Fehler nicht eingelesen (nach apache-restart).

Nachdem ich nur die Cyper-Suite von Joe User in den MadMakz Config kopiert habe, gab es keine Änderung.

Ich lass es jetzt einfach mal so. Ein A+ bei SSLLabs bestätigt ja die Sicherheit ;)
 
Bitdefender ist mein Virenschutz. Der schaltet sich bei Chrome glaub ich dazwischen :) Bei Firefox und EDGE ist die "richtige" Zertifizierungsstelle angezeigt. Ist das schlimm?
 
aspdye said:
Bitdefender ist mein Virenschutz. Der schaltet sich bei Chrome glaub ich dazwischen :) Bei Firefox und EDGE ist die "richtige" Zertifizierungsstelle angezeigt. Ist das schlimm?
Click to expand...
Wenn sich ein AV-Scanner mit einem MITM-Cert dazwischenschalten muss sagt das eigentlich schon so ziemlich alles über die Qualität des AV.

Solange du auch nicht alleine "RSA" als Schlüsseltausch stehen hast sollte alles in Ordnung sein bei den anderen Browsern bzw Server.

Ich glaube auch nicht das man noch ein A+ bekommt wenn man kein Forward Secrecy aktiviert hat, also dürfte auf serverseite alles OK sein.

Wenn du SSLSessionTickets aus Joes Konfig nimmst kannst du seine benutzen.
 
Last edited by a moderator:
Ich werde beim Kauf meines nächsten AV auf jeden Fall an deine Worte denken ;) Durch eine Deaktivierung der "SSL-Sicherung" in den Bitdefender Einstellungen kann nun auch Chrome direkt die richtige CA anzeigen.

Forward Secrecy ist an. Das ist schließlich Bedingung für das +.

Key Exchange (Schlüsseltausch) hat eine "90"er Bewertung. In diesem Sinne, sollte alles korrekt konfiguriert sein.

Ich danke allen, die mir geholfen haben ;)
 
Wenn du den Scan der sicheren Verbindung (SSL) in deinem Virenscanner deaktivierst reicht das doch! Da braucht es keinen neuen... :eek: Und dann solltest du schaune, welche rummurksenden Erweiterungen die Browser einfach ohne zu fragen aktiviert haben, um dir Sicherheit vorzugaukeln.
 
Auf Plugins und Add Ons achte ich ;) trotzdem danke für den Hinweis.

Auch hab ich bei Firefox keine "Man in the Middle" Probleme.

Das ist nur bei Chrome.
 
Der Man-in-the-middle existiert generell, nicht nur bei Chrome, Chrome kann ihn lediglich auf Grund zusätzlicher Funktionen sichtbar machen.

Abstellen lässt sich der Mitm indem man die "Überprüfung von SSL-gesicherten Verbindungen" in der Antiviren-Software deaktiviert. Gilt nicht nur für Bitdefender, sondern für alle Antiviren- beziehungsweise Internet-Security-Lösungen.



Ging doch dieses Jahr durch sämtliche IT-Medien weltweit, sollte also jeder "Admin" mibekommen haben...

:confused:
 
You must log in or register to reply here.
Back
Top