Holger Stridde World Wide

Apche Webserver – TLS 1.2 oder höher erzwingen

Bild Absperrung Tatort Cyberkriminalität

Aufgrund vieler Schwachstellen in den alten SSL Protokollen zuletzt Poodle als Kurzform für „Padding Oracle on Downgraded Legay Encrpytion“ wird es Zeit diese Schwachstelle zu eliminieren. Ziel ist es nur noch neue möglichst sichere Protokolle zu verwenden. Diese werden durch moderne Browser unterstützt.

Eine Warnung jedoch für alle Marketingexperten, weldche den größtmöglichen Zulauf für die Seite gewährleisten möchten: Es besteht die Gefahr einige User auszusperren, da es immer noch Nutzer gibt, welche alte ungepatchte Systeme besitzen und damit Brower, welche längst in den Ruhestand gehören

Konfiguration anpassen

Um die alten Protokolle abzuschalten und nur noch TLS in der Version 1.2 zu unterstützen ist nur die folgende Zeile eurer SSL Konfiguration hinzuzufügen:

SSLProtocol              All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Durch diese Änderung werden die alten Protokolle wie SSL2, SSL3, … deaktiviert und nur noch das neue TLS in der Version 1.2 verwendet. Im Rahmen einer einfache vollständigen Konfiguration könnte es wie folgt aussehen:

<VirtualHost *:443>	
        ServerName www.example.com
	DocumentRoot /var/www/html
	
	SSEngine on
	SSLProtocol              All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
	SSLCertificateFile /etc/httpd/cert.pem
	SSLCertificateKeyFile /etc/httpd/privkey.pem
</VirtualHost>

Apache Neustarten

Damit die Änderungen auch geladen werden, sollte nach der Codeänderung der Webser neu gestarten werden:

systemctl reload http

Konfiguration Testen

Um die Änderungen n zu testen könnt ihr zum Beispiel die folgende Seite verwenden und einen Test gegen eure URL anfragen:
* Kurz und übersichtlich https://netsense.ch/de-ssl-check/ssl-check
* Ausführlich: https://www.ssllabs.com/ssltest/index.html

Bei mir sagt die Seite zwar weiterhin, dass TSLv1.1 aktiviert ist, jedoch funktioniert die Poodle Attacke speziell nicht mehr. In anderen Varianten, wie in folgender Schreibweise, wurden deutlich mehr Schwachstellen angezeigt. Ggf. werde ich es noch einmal über die Konsole verifizieren, was tatsächlich alles möglich ist.

Bildnachweis:

Die mobile Version verlassen