Apache-Sicherheit – SSLv2 deaktivieren und starke Verschlüsselung einsetzen

Ja ja, der liebe TÜV hat uns korrekterweise darauf aufmerksam gemacht, dass unsere Server unsichere Verschlüsselungsmethoden unterstützen und insbesondere SSLv2 deaktiviert werden muss. Absolut korrekt und Gott sei Dank auch sehr leicht zu bewerkstelligen.

Einmal bitte die /etc/apache2/httpd.conf editieren und folgende Zeilen einfügen:

SSLProtocol ALL -SSLv2
SSLCipherSuite HIGH:!SSLv2:!ADH:!aNULL:!eNULL:!NULL

Apache neu starten mit /etc/init.d/apache2 restart und schon sind wir sicher.

Zum Prüfen obs geklappt hat, gibt es diverse Shell-Scripts. Wer eines davon braucht – bitte einfach anmelden und nen Kommentar hinterlassen, dann schick ich das gerne zu.

Die Kontrolle durch mein mir vorliegendes Script war erfolgreich.

Vor der Umstellung:

Testing SSL2…
DES-CBC3-MD5 – 168 bits
RC2-CBC-MD5 – 128 bits
RC4-MD5 – 128 bits
DES-CBC-MD5 – 56 bits
EXP-RC2-CBC-MD5 – 40 bits
EXP-RC4-MD5 – 40 bits
Testing TLS1…
DHE-RSA-AES256-SHA – 256 bits
AES256-SHA – 256 bits
EDH-RSA-DES-CBC3-SHA – 168 bits
DES-CBC3-SHA – 168 bits
DHE-RSA-AES128-SHA – 128 bits
AES128-SHA – 128 bits
RC4-SHA – 128 bits
RC4-MD5 – 128 bits
EDH-RSA-DES-CBC-SHA – 56 bits
DES-CBC-SHA – 56 bits
EXP-EDH-RSA-DES-CBC-SHA – 40 bits
EXP-DES-CBC-SHA – 40 bits
EXP-RC2-CBC-MD5 – 40 bits
EXP-RC4-MD5 – 40 bits

Nach der Umstellung:

Testing SSL2…
Testing TLS1…
DHE-RSA-AES256-SHA – 256 bits
AES256-SHA – 256 bits
EDH-RSA-DES-CBC3-SHA – 168 bits
DES-CBC3-SHA – 168 bits
DHE-RSA-AES128-SHA – 128 bits
AES128-SHA – 128 bits

Alles also im grünen Bereich.

Schreibe einen Kommentar