Supadupa SSL

Nachdem Edward Snowden offen gelegt hat was die NSA so treibt ist das Sicherheitsbewusstsein in Deutschland gewachsen. Wo fängt man also an mit Sicherheit? Wie wär’s beim Webserver?

Ich benutze nginx als Reverse Proxy und hab dahinter den Apache 2.2 laufen. Zum anpassen gibt’s bei nginx eine Menge Optionen (siehe Dokumentation), aber wie setze ich die richtig und was sagt mir das über die Sicherheit aus?

Zum bewerten der Verbindung eignet sich vor allem der SSL Server Test von Qualys SSL Labs. Mein Server wird mittlerweile mit A+ bewertet jedeglich der Protocol Support und der Key Exchange hat noch ein bisschen potenzial. Das Ziel ist es eine Perfect Forward Secrecy (PFS) Konfiguration zu haben und so eine ziemlich sichere Verbindung zu haben. Orientiert habe ich mich am SSL Server Rating Guide und in Folge dessen hat mir Google bei der Suche nach optimalen Einstellungen sehr geholfen.

Fangen wir mal im Bewertungsraster oben an: Weiterlesen