Es ist 2021 und wir verwenden alle SSL für unsere Website, richtig? Leider gibt es da draußen noch immer viele Seiten, die kein SSL verwenden. Und auch solche, die es tun, verwenden manchmal unsichere Einstellungen. Heute möchte ich ein paar Tipps für Tolls geben, mit denen ihr die SSL-Einstellungen verbessern könnt – nicht nur die eures Webservers.

Den aktuellen Zustand analysieren

Bevor ihr anfangt, die Einstellungen zu optimieren, solltest ihr euch erst einmal ein Bild davon machen, was ihr optimieren wollt/müsst. Das Tool meiner Wahl ist hierfür der SSL Server Test (Qualys SSL Labs), in den ihr einfach euren Hostname einfügt und den Test laufen lasst. Das Ergebnis könnte dann wie folgt aussehen:

Wenn euer Ergebnis ungefähr so aussieht, dann könnt ihr jetzt eigentlich schon aufhören weiterzulesen, denn es ist fast das beste, was ihr erreichen könnt. Um auch bei der „Cipher Strength“ 100 Punkte zu bekommen müsst ihr seit tief in die Einstellungen diverser Komponenten eingreifen und manche davon vielleicht im Anschluss neu kompilieren. Ich könnt auch nur dann 100 Punkte in allen vier Kategorien erhalten, wenn ihr nur noch TLS 1.3 anbietet, was aber einige (nicht komplett veraltete) Client nicht unterstützen.

Optimieren der SSL-Einstellungen

Eine Überprüfungen im Test zielen auf das SSL-Zertifikat ab, aber die allermeisten davon auf die Webserver-Einstellungen und hier könnte ihr in der Regel die größte Verbesserung erreichen.

Ein SSL-Zertifikat mit großen Schlüssellänge erhalten

Für das SSL-Zertifikat solltet ihr euch eines besorgen, das eine Schlüssellänge von 4096 hat. Falls ihr Lets’s Encrypt verwendet, dann könnt ihr hierzu einfach --rsa-key-size 4096 an den certbot Aufruf anhängen. Ähnliche Optionen gibt es auch auch für viele andere Let’s Encrypt Clients.

Generieren der SSL-Einstellungen für euern Server

Viele von euch werden den Apache und den nginx Webserver kennen. Aber es gibt noch viele mehr (viele davon ebenfalls Open Source), die ihr verwenden könnt. Aber vergesst nicht den Mailserver, den Load-Balancer, den Datenbankserver usw. bei der SSL-Konfiguration. Alle verwenden hierbei unterschiedliche Konfigurationsdateien und selbst die Liste der verwendeten Chiffren hat oft eine andere Syntax. Glücklicherweise gibt es ein sehr praktisches Tool dass euch dabei helfen kann, den moz://a SSL Configuration Generator. Hier könnt ihr auswählen, für welche „Server Software“ ihr eine Konfiguration benötigt und welche „Mozilla Configuration“ ihr verwenden möchtet. Hier werdet ihr vermutlich mit “ Intermediate“ am besten bedient sein:

Ihr könnt optional auch noch die Versionsnummern des Servers und von OpenSSL einstellen. Das kann sinnvoll sein, wennn euer Hoster noch immer den Apache 2.2 Webserver oder andere veraltete Software verwendet. Im Abschnitt “ Miscellaneous“ findet ihr die „HTTP Strict Transport Security“ (HSTS) Einstellung. Mit dieser solltet ihr vorsichtig umgehen, denn im schlimmsten Fall sind dann andere Subdomains nicht mehr aufrufbar, wenn diese kein SSL-Verwenden (was sie natürlich alle tun sollten).

Auch wenn euch also dieses Tool auf einfache Weise eine passende Konfiguration liefert, solltet ihr diese nicht einfach blind per Copy/Paste komplett in eure Konfiguration übernehmen. Am besten prüft ihr während der Übernahme der Konfiguration zwischendurch den neuen Stand mit dem SSL Labs Test, bis ihr schrittweise die Konfiguration gefunden habt, die das für euch beste Verhältnis von hoher Sicherheit und bester Gerätekompatibilität abbildet.

Fazit

Die Umstellung einer WordPress-Installation ist seit WordPress 5.7 noch einfacher geworden, aber das Einstellgen einer sicheren Server-Konfiguration ist nicht eher schwer. Mit den richtigen Tools kann auch auch das sehr einfach umgesetzt werden.