Vollständige Version anzeigen : [BIETE] Apache 2 / Nginx TLS Implementation


dreamax
08.05.2014, 20:23

Da es anscheinend Leute gibt die zu blöd sind ihrem Webserver auch HTTPS beizubringen, gibt es hier die korrekte TLSv1;2 Implementierung. Hierbei wurde Wert auf saubere Verschlüsselung und NICHT* (BIETE-Apache-2-Nginx-TLS-Implementation?p=11187287#post11187287) auf Browser Kompatibilität (;;1;xup~to/exec/ximg;php?fid=11783886) gelegt. Wer nen uralt Browser verwendet ist selbst dran schuld.


RSA Certificate signing request creation:

openssl req -nodes -newkey rsa:4096 -sha512 -nodes -keyout server;key -out server;csr -subj "/CN=meinedomain;de"



Signed certificate creation:


Anbieter.....;: ;cheapsslsecurity~com/comodo/positivessl;html
Promo-Code...;:
Produkt......;: "Comodo Positive SSL"
Benötigt.....;: TLD / email;TLD (z;B. via Namecheap E-Mail Weiterleitung) / signing request (siehe oben)
Kosten.......;: 5;99 USD (4,40€)


Alternativ: Kostenloses StartSSL (;;;startssl~com/) Zertifikat

Self-signed certificate creation:

openssl x509 -req -days 3650 -sha512 -in server;csr -signkey server;key -out server;crt


Nginx >> Apache

Apache 2:

## Apache 2 >= 2;3;3 (TLSv1;2 /w ECDHE; no SPDY ;( )
# a2enmod ssl / a2enmod headers

<VirtualHost *:443>
ServerTokens Prod

SSLEngine On
SSLCertificateFile server;crt
SSLCertificateKeyFile server;key
SSLProtocol TLSv1 TLSv1;1 TLSv1;2
SSLCompression Off
SSLHonorCipherOrder On
SSLCipherSuite 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA'
Header add Strict-Transport-Security "max-age=15768000"
</VirtualHost>



Nginx:

## Nginx >= 1;1;13 (TLSv1;2 /w ECDHE; no SPDY ;( ) / >= 1;6;0 (TLSv1;2 /w ECDHE; SPDY ;) )

# Nginx >= 1;1;13 (no SPDY):
listen 443 ssl;

# Nginx >= 1;6;0:
listen 443 ssl spdy;

server_tokens off;

ssl_certificate server;crt;
ssl_certificate_key server;key;
ssl_protocols TLSv1 TLSv1;1 TLSv1;2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA';
add_header Strict-Transport-Security max-age=15768000;

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;



TLS-Implementierung Testen:


Qualys SSL Server Test (;;;ssllabs~com/ssltest/)
;;1;xup~to/exec/ximg;php?fid=20241378


Verbesserungsmöglichkeiten:


Nur TLSv1;2 erlauben ("Kickt" die meisten Browser)
Aktivierung der CHACHA20-POLY1305 Cipher Suite (benötigt OpenSSL Patch, GnuTLS oder LibreSSL)
Verwendung eines ECC-Zertifikats ("ECDSA", Bisher nur bei wenigen Anbietern verfügbar, >= 700€)
Verwendung einer vertrauensvolleren Stammzertifizierungsstelle (kein USA, Israel, etc. / z;B. Schweiz)

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
Murdoc
09.05.2014, 14:10

Android 4, Google/Bing/Yahoo-bot, IE 11, Firefox ESR und iOS sowie OS-X Safari funktionieren nicht?
Mit Verlaub, aber diese Konfig ist nicht brauchbar für den Einsatz bei einer Webseite.


dreamax
09.05.2014, 15:27

Android 4, Google/Bing/Yahoo-bot, IE 11, Firefox ESR und iOS sowie OS-X Safari funktionieren nicht?
Mit Verlaub, aber diese Konfig ist nicht brauchbar für den Einsatz bei einer Webseite;


Jop, war nicht auf die Schlampererein der Browser Hersteller ausgelegt.


Ich bin mir zwar nicht sicher warum, um deinen ansprüchen zu genügen, hab ich das mal angepasst.
Ist jetzt die Version wie ich sie im Produktiven Umfeld (+Chacha20) einsetze..


dreamax
10.06.2014, 14:29

"Mal drüber schauen" und "kleinere Tipps geben" mache ich natürlich kostenlos (via jabber, siehe unten).


Ähnliche Themen zu [BIETE] Apache 2 / Nginx TLS Implementation
  • Reverse Proxy Nginx zu Nginx
    Hallo, Ich bin gerade am Planen einer neuen Serverstruktur und beschäftige mich grad mit dem Reverse von Nginx. Grundsätzlich strebe ich folgende Lösung an. Reverse Proxy Nginx -> auf Webserver Nginx. Nginx Reverse Config: server location ~ \;php$ location [...]

  • Nginx Caching Proxy für Apache nutzen
    Hallo, Ist es sinnvoll den NGINX als Reverse/Caching-proxy für den Apache zu verwenden? Wäre es auch ratsam bei beiden Webservern die Komprimierung (gzip) zu aktivieren, oder nur beim NGINX? Gruß [...]

  • nginx und apache
    hi leute, folgendes problem ich möchte nginx als revers und apache als hauptserver betreiben. Meine frage ich habe nginx auf port 80 und apache auf 8080 nun möchte ich das der ordner /var/user geparst wird dort sind unterodner wie /web1/ und viele andere enthalten. PHP dateien sollen weit [...]

  • Apache + php / nginx + php
    Hallo Leute, ich setze derzeit noch auf einen apache + php + mysql Server, würde gerne aber testweise auch nginx + php + mysql laufen haben ;) Sprich Apache 2;x;x und php und mysql SIND BEREITS INSTALLIERT :) Kann ich nun nginx runterladen und configen und auf das schon installierte php "z [...]



raid-rush.ws | Imprint & Contact pr