Skip to main content

Nginx – Apache – Webserver absichern mit Hilfe von Mozilla SSL Configuration Generator

Da der Webserver eine große Angriffsfläche bietet, sollte dieser immer auf dem aktuellen Stand sein und auch keine „unsicheren“ Protokolle mehr unterstützen. Im Internet gibt es sehr viele Anleitungen, was man alles Konfigurieren sollte und was nicht. Diese sind jedoch mit der Zeit immer veraltet und manche Anleitungen sind einfach fehlerhaft bzw falsch.

Eine einfache Möglichkeit sich aktuelle Konfigurationen zu generieren ist der Mozilla SSL Configuration Generator. Leider habe ich beim Testen gemerkt, dass Features wie  X-Frame-Options, X-XSS-Protection, X-Content-Type-Options und weitere Sachen nicht genutzt werden. Daher ist diese Konfiguration zwar nicht direkt schlecht, aber es gibt bessere. Aber als Grundlage für spätere Optimierungen ist die sehr gut geeignet.

Mozilla SSL Configuration Generator erstellt einfach per Klick Konfigurationen für

  • Apache
  • Nginx
  • Lighttpd
  • HAProxy
  • AWS Elb

Daneben kann noch aufgewählt werden, die „sicher“ die Konfigurationen sein sollen.
Eine verbesserte Sicherheit schließt jedoch oft ältere Geräte aus, da diese keine neuen Protokolle unterstützen. Hier sollte man also einen guten Mittelweg finden.

Um eure Einstellungen zu überprüfen, könnt ihr auf diesen Webseiten eure Webseite testen.

https://observatory.mozilla.org/

https://www.htbridge.com/ssl/

 

Beispiel Konfiguration von nginx

Ihr müsst euch die von Mozilla erstellte Konfiguration in folgende Datei kopieren.

Bei der Mozilla Konfiguration wird noch ein Diffie-Hellman Key verwendet. Diesen generiert ihr so:

In der Konfiguration müsst ihr ebenfalls noch hinzufügen:

  • servername
  • Webroot
  • index
  • PHP Konfiguration

Dies sieht bei mir so aus:

Bei der PHP Konfiguration nur den Teil für eure Version kopieren.

Zum Schluss den Server neustarten.

 

Christian

Christian

Ich studiere derzeit Informatik und betreibe in meiner Freizeit diesen Blog.
Auf die Idee kam ich, als ich Anleitungen zum Thema Debian gesucht habe. Leider waren viele Anleitungen veraltet und daher nutzlos.

Da kam ich auf die Idee selbst Anleitungen zu schreiben.
Wenn meine Anleitungen auch veraltet sein sollten, dann schreibt mir das bitte und ich versuche sie zu aktualisieren.

Wer mich (finanziell) unterstützen möchte, der kann mir hier gerne etwas spenden 🙂
PayPal
https://paypal.me/goNeuland
BTC
1GHRnh6DvdPE4FFpxGbEQu6m4sgnrjpoxM
ETH
0x53d3005663026F96e7cCCa39D14fA487e1072318

Danke 🙂
Christian

Christian

Ich studiere derzeit Informatik und betreibe in meiner Freizeit diesen Blog. Auf die Idee kam ich, als ich Anleitungen zum Thema Debian gesucht habe. Leider waren viele Anleitungen veraltet und daher nutzlos.Da kam ich auf die Idee selbst Anleitungen zu schreiben. Wenn meine Anleitungen auch veraltet sein sollten, dann schreibt mir das bitte und ich versuche sie zu aktualisieren.Wer mich (finanziell) unterstützen möchte, der kann mir hier gerne etwas spenden :) PayPal https://paypal.me/goNeuland BTC 1GHRnh6DvdPE4FFpxGbEQu6m4sgnrjpoxM ETH 0x53d3005663026F96e7cCCa39D14fA487e1072318Danke :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.