Apache2 Weak Cipher deaktivieren

Aus Cowwwiki
Zur Navigation springen Zur Suche springen

Auf dieser Seite beschreibe ich einige rudimentäre Härtungsmaßnahmen des Webservers.

apache2

Man füge in der /etc/apache2/httpd.conf folgende Zeilen hinzu:

FileETag None

SSLCompression off
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite AES128+EECDH:AES128+EDH


Über den FileETag ist eine InformationDisclosure möglich. Da das Feature von FileETag nur selten benötigt wird, kann es deaktiviert werden.


Großes Aufsehen hat hingegen die Heartbleed-Sicherheitslücke erregt. SSL und insbesondere die SSL-Cipher können bei schwacher Konfiguration und sehr ernst zu nehmendes Sicherheitsrisiko darstellen. Oben werden deshalb SSLv2 und SSLv3 deaktiviert. Über den letzteren war beispielsweise die Poodle-Attacke möglich.


Außerdem ist auch darauf zu achten, dass bei den Zertifikaten alle Zwischenzertifikate korrekt eingebunden werden, z. B. SSLCACertificateFile oder SSLCertificateChainFile. Wenn diese erforderlich sind und nicht geliefert werden, wirkt sich das negativ auf die Sicherheit aus.


Unter https://www.ssllabs.com/ssltest/analyze.html kann man übrigens die Seite auf etwaige Probleme prüfen lassen.

Quellen

https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html