Apache - Konfigurieren starker Cipher-Suites

Durch Verwendung der folgenden Zeile ist es möglich, SSL so zu konfigurieren, dass nur starke Kryptographie akzeptiert wird:

SSLCipherSuite HIGH:!aNULL:!MD5

Über die folgende Zeile in der Konfiguration kann eine Präferenz für bestimmte geschwindigkeitsoptimierte Ciphers festgelegt werden (die von mod_ssl ausgewählt werden, sofern sie vom Client unterstützt werden):

SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5
SSLHonorCipherOrder on

Natürlich ist eine SSLCipherSuite mit nur starker Verschlüsselung für den gesamten Server nicht die Lösung (zum Beispiel, weil Benutzer mit alten Browsern die Website nicht besuchen können). Als eine Lösung kann mod_ssl in "Location Blocks" konfiguriert werden, so dass Sie pro Ordner angeben können, welche Verschlüsselungen gelten und die SSL-Parameter automatisch neu verhandeln, um die neue Konfiguration zu erfüllen. Dies kann auf folgende Weise geschehen:

# be liberal in general
SSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL

<Location /strong/area>
# but https://hostname/strong/area/ and below
# requires strong ciphers
SSLCipherSuite HIGH:!aNULL:!MD5
</Location>

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.

point up