Fachgruppe Informatik Wiki

User Tools

Site Tools

it_best_practise:apache:ssl_settings

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
it_best_practise:apache:ssl_settings [2017/03/03 10:36] – [Allgemeine SSL Einstellungen] Stephan Krinetzkiit_best_practise:apache:ssl_settings [2024/02/27 11:41] (current) – external edit 127.0.0.1
Line 39: Line 39:
  
 Damit entspricht man den aktuellen SSL Einstellungen. Diese Einstellungen werden pro VHost vorgenommen. Damit entspricht man den aktuellen SSL Einstellungen. Diese Einstellungen werden pro VHost vorgenommen.
 +
 +==== Eigene Diffie-Hellman Parameter erstellen ====
 +Ausgehend von der Schwachstellt [[https://en.wikipedia.org/wiki/Logjam_(computer_security)|Logjam]] sollte man für sein System dafür sorgen, dass der genutzte Satz an DH Parametern ausreichend stark ist. Wer die Default Einstellung höher setzen will kann mit OpenSSL und dem Folgenden Befehl ein passendes File generieren:
 +<code>
 +openssl dhparam -out dhparams.pem 4096
 +</code>
 +anschließend kann man das File im Apache (Version 2.4.8 und neuer und OpenSSL 1.0.2) einbinden mit:
 +<code>
 +SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}"
 +</code>
 +
 +Weitere Details dazu sind [[https://weakdh.org/sysadmin.html|hier]] zu finden.
 +
 +**Achtung**: CentOS läuft mit Apache 2.4.6 [[https://crosp.net/blog/administration/install-latest-apache-server-centos-7/|hier]] gibt es eine Anleitung für das Update.
 +
 +==== Schlüsselaustausch via Diffie Hellman Elliptic Curve ====
 +Apache kann schon per default ausgehend von einem RSA-Schlüssel den Schlüsselaustausch mit dem Client per Elliptischen Kurven durchführen. Dabei wird (auf meinen Systemen immer) eine Schlüssellänge von 256 Bit genutzt. Diese lässt sich hochstellen.
 +
 +Dazu muss man zuerst herausfinden welche Kurven auf einem System zur verfügung stehen:
 +<code>
 +openssl ecparam -list_curves
 +</code>
 +
 +Anschließend kann man in der Apache (Version 2.4.8 oder höher) Config für den vHost festlegen, was man wirklich haben will. Dabei darf man natürlich nur Kurven auswählen, die das System auch kann...
 +
 +<code>
 +SSLOpenSSLConfCmd ECDHParameters Automatic
 +SSLOpenSSLConfCmd Curves secp521r1:secp384r1
 +</code>
 +
 +Weitere Details dazu sind [[https://community.letsencrypt.org/t/making-the-key-exchange-stronger/8116|hier]] zu finden.
 +
 +**Achtung**: CentOS läuft mit Apache 2.4.6 [[https://crosp.net/blog/administration/install-latest-apache-server-centos-7/|hier]] gibt es eine Anleitung für das Update.
  
 ==== Weitere Versionsinformationen ==== ==== Weitere Versionsinformationen ====
it_best_practise/apache/ssl_settings.1488537410.txt.gz · Last modified: 2024/02/27 11:40 (external edit)