Apache - Deaktivierung unsicherer SSL Versionen

SSL Version 2 wird standardmäßig nicht mehr verwendet und ist in der Regel nur zur Unterstützung älterer Produkte installiert. Es kann jedoch auch ein erhebliches Sicherheitsrisiko darstellen. Viele Websites verwenden noch SSL Version 3, aber auch bei diese Version wurde vor kurzem ein ernsthaftes Leck entdeckt. Auch bei RC4 wurden Schwachstellen gefunden. Also empfehlen wir dringend, diese auszuschalten. Dies kann in Apache wie folgt geschehen:

  1. Öffnen Sie ssl.conf (befindet sich typischerweise in /etc/httpd; ie genaue Platzierung ist abhängig vom Betriebssystem), ändere die Zeilen wie folgt:
    SSLProtocol ALL -SSLv2 -SSLv3
    SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!RC4+RSA:+HIGH:+MEDIUM
  2. Speichern Sie Ihre Änderungen und starten Sie Apache neu
  3. Testen Sie mit dem folgenden Befehl ob SSLv2 erfolgreich abgeschaltet wurde (Wenn es funktionierte hat, erhalten sie eine Fehlermeldung):
    # openssl s_client -ssl2 -connect virtualhost:443
  4. Testen Sie auch SSLv3:
    # openssl s_client -ssl3 -connect virtualhost:443
  5. Vergewissern Sie sich, dass die Websites noch mit TLSv1 funktionieren:
    # openssl s_client -tls1 -connect virtualhost:443

Verwenden Sie auch den SSLCheck um zu überprüfen, ob eine Website über SSLv2 oder SSLv3 zu erreichen ist.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.