Kategorien
Security Verschlüsselung Webdesign Webserver

Installiere ein SSL Zertifikat – sofort!

Die Datenschutzgrundverordnung, die am 25. Mai 2018 in der Europäischen Union in Kraft getreten ist, schreibt unter anderem vor, Formulare auf einer Website mit einem SSL Zertifikat auszustatten. Das Zertifikat und das zugehörige Protokoll sorgen dafür, dass die Daten zwischen dem Browser des Besuchers und dem Server der besuchten Website verschlüsselt übertragen werden.

Auch unabhängig von dieser Verordnung ist die Installationen eines SSL Zertifikats eine gute Idee! Wenn deine Website noch kein SSL Zertifikat nutzt und du deine Website bei uns hostest, dann solltest du das jetzt einfach mal einrichten. Ich zeige dir, wie es geht.

Kategorien
Infrastruktur Security Server

Let’s Encrypt serverblogger.ch

Tadaa, es ist es soweit!

SSL/TLS Zertifikate, die von allen Browsern anerkannt werden, können nun kostenlos erstellt werden. Am 3. Dezember 2015 startete die öffentliche Beta-Phase der Let’s Encrypt Zertifizierungsstelle und in diesem Blogeintrag werde ich ein solches Zertifikat auf unserem Blogserver erzeugen und für die Domain serverblogger.ch einrichten.

Basissystem

Ich nutze einen virtuellen root Server aus dem aktuellen Novatrend Angebot und habe dort Linux Ubuntu 14.04 und einen LAMP Stack installiert. Die Domain serverblogger.ch zeigt auf einen virtuellen Host mit dieser Minimalkonfiguration:

<VirtualHost *:80>
  ServerName serverblogger.ch
  ServerAlias www.serverblogger.ch
  DocumentRoot /var/www/serverblogger.ch/public_html/
</VirtualHost>

Let’s encrypt verspricht eine automatisierte Einrichtung von Konfigurationsdateien des Apache Webservers.

Let’s Encrypt serverblogger.ch

Da das Let’s Encrypt Softwarepaket natürlich noch nicht in den Distributionspaketen von Ubuntu 14.04 vorhanden ist, muss es individuell installiert werden. Die einfachste Variante ist die Installation über Git/GitHub. Git ist eine freie Software zur verteilten Versionsverwaltung von Dateien und GitHub ist ein kommerzieller Dateihoster für Softwareprojekte. Dort hostet auch das Let’s Encrypt Projekt seinen Quellcode (https://github.com/letsencrypt).

Um die Dateien installieren zu können, muss zunächst Git installiert werden

sudo apt-get install git

Danach wird das Let’s Encryt Repository auf GitHub geklont

git clone https://github.com/letsencrypt/letsencrypt

Das sieht dann so aus

Cloning into 'letsencrypt'...
remote: Counting objects: 25238, done.
remote: Compressing objects: 100% (11/11), done.
remote: Total 25238 (delta 2), reused 0 (delta 0), pack-reused 25227
Receiving objects: 100% (25238/25238), 6.61 MiB | 4.86 MiB/s, done.
Resolving deltas: 100% (17693/17693), done.
Checking connectivity... done.
novatrend@server1:~$

Das Let’s Encrypt Softwarepaket wurde im Verzeichnis /letsencrypt installiert. Also wechsele ich in das Verzeichnis und rufe das Programm auf

cd letsencrypt

Das folgende Kommando ruft letsencrypt auf

sudo ./letsencrypt-auto

Das Script läd alle notwendigen Bibliotheken, meldet dann aber folgenden Fehler

InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.

Letsencrypt ist in Python geschrieben und es fehlen offenbar noch ein paar Python Bibliotheken, die mit diesem beiden Befehl nachinstalliert werde können:

sudo apt-get install python-pip
sudo pip install pyopenssl ndg-httpsclient pyasn1

Die Installationsparameter kann man sich unter ./letsencrypt-auto –help ansehen.

Der Konfigurationsprozess wird mit diesem Befehl gestartet

./letsencrypt-auto

Die installierten virtuellen Hosts erscheinen zur Auswahl

Let's Encrypt - Domainauswahl
Let’s Encrypt – Domainauswahl

Es wird eine E-Mail Adresse als Ansprechpartner für die Wiederherstellung von Schlüssel und dringenden Benachrichtigungen verlangt. Die anzugebende E-Mail Adresse muss nicht bei einer der ausgewählten Domains sein.

Let's Encrypt - E-Mail Ansprechpartner
Let’s Encrypt – E-Mail Ansprechpartner

Die Geschäftsbedingungen müssen bestätigt werden. Hier der Link zum angezeigten PDF: https://letsencrypt.org/documents/LE-SA-v1.0.1-July-27-2015.pdf

Interessant in diesem Zusammenhang ist vermutlich dieser Satz:

The parties agree that the laws of the State of California govern this Agreement, irrespective of California’s choice of law and conflicts of law principles.

Let's Encrypt - Geschäftsbedingungen
Let’s Encrypt – Geschäftsbedingungen

Im letzten Fenster kann festgelegt werden, ob HTTP und HTTPS angeboten werden sollen oder der gesamte Verkehr über HTTPS abgewickelt werden soll.

Let's Encrypt - Auswahl ob HTTPS erzwungen werden soll (Ja)
Let’s Encrypt – Auswahl ob HTTPS erzwungen werden soll (Ja)

Das wars! Es erscheint ein Hinweis auf eine Testsite …

Let's Encrypt - Erfolg
Let’s Encrypt – Erfolg

und dieser Hinweis …

IMPORTANT NOTES:
 - If you lose your account credentials, you can recover through
   e-mails sent to hagen@novatrend.ch.
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/serverblogger.ch/fullchain.pem. Your cert
   will expire on 2016-03-03. To obtain a new version of the
   certificate in the future, simply run Let's Encrypt again.
 - Your account credentials have been saved in your Let's Encrypt
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Let's
   Encrypt so making regular backups of this folder is ideal.
 - If like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Auf der Testsite erscheint dann auch ein leuchtendes Grün und ein grosses A!

Let's Encrypt – SSL Labs
Let’s Encrypt – SSL Labs

Fazit:

Es ist einfach, es funktioniert und im Ergebnis hat man eine SSL/TLS abgesicherte Website. Das ist zunächst mal gut!

Der Haken an der Sache ist, dass man nun auch eine Art Backdoor unter kalifornischem Recht auf dem Server hat. Hierzu hat sich Felix von Leitner ein paar Gedanken gemacht (https://blog.fefe.de/?ts=a89f4ed6) und auch eine Lösung angeboten. Diese Website (https://gethttpsforfree.com/) bietet die Möglichkeit ein Let’s Encrypt Zertifikat zu erzeugen und zu nutzen ohne das Let’s Encrypt Python Softwarepaket.

Links:

Weitere Artikel zum Thema hier im Blog:


tl;dr: Es funktioniert! Ein kostenloses SSL-Zertifikat per Knopfdruck!

Kategorien
News Security Server Shared Hosting

Natürlich wird es kostenlose SSL/TLS Zertifikate geben – auch bei uns :)

Wir sind keine Freunde von Vorabinformationen, die Hoffnungen auf eine bessere Zukunft wecken sollen und dann womöglich ein paar mal verschoben werden müssen. Besonders dann nicht, wenn es dabei um so sensible Themen wie Verschlüsselung und Privatsphäre handelt.

Wir beschreiben, verkaufen und warten gern real zur Verfügung stehende Services, bei denen wir Qualität und Funktionsfähigkeit gewährleisten können.

Wir denken, wie vermutlich alle Hosting Unternehmen weltweit, bereits seit längerer Zeit über das Thema kostenlose SSL/TLS Zertifikate nach. Spätestens mit dem Projektstart der Zertifizierungsinfrastruktur von Let’s Encryt im Jahr 2014 war prinzipiell klar, dass in Zukunft „einfache“ Domain-Zertifikate eine kostenlose Dienstleistung sein werden.

Da sich die Entwicklung von Let’s Encrypt verzögerte, haben wir Im Blog Anfang des Jahres bereits beschrieben, wie man beispielsweise kostenlose Zertifikate von StartSSL nutzen kann. Vorgestern haben wir ein, bis Ende des Jahres begrenztes Sonderangebot (50%), für SSL/TLS Zertifikate für Ihr Webhosting Paket angeboten (Gutschein Code SSL4CST2)

Am 16.11.2015 wird Let’s Encrypt seinen Service öffentlich anbieten und wir werden so zeitnah wie möglich eine komfortable Lösung anbieten, mit der Sie Ihre Inhalte unter Ihren Domains und Subdomains mit kostenlosen Let’s Encrypt Zertifikaten absichern können.

Da in den letzten Wochen die Ankündigungen für kostenlose Zertifikate in die Höhe schnellten, wollen wir an dieser Stelle unseren Stamm- und Neukunden versichern:

Natürlich wird es kostenlose SSL/TLS Zertifikate geben – auch bei uns 🙂

Kategorien
seafolly.ch Shared Hosting

Ein SSL/TLS Zertifikat für ihr Webhosting Paket

Verschlüsselte Kommunikation ist ein wichtiges Thema. Sie bietet den Besuchern Ihrer Website mehr Sicherheit und erhöht das Vertrauen zu hren Services. Ohne Verschlüsselung können Daten, die auf Ihrer Website eingegeben werden, wie beispielsweise Passworte oder Kreditkarteninformationen von jedem Teilnehmer des Netzes mitgelesen werden.
Bereits im Februar diesen Jahres haben wir mit einem Crashkurs das Thema beleuchtet (Zertifikate, SSL, TLS und HTTPS – ein Crashkurs) und auf eine Möglichkeit zur kostenlosen Erstellung von Zertifikaten, am Beispiel von Root-Servern, hingewiesen (Virtuelle Apache Hosts mit TLS/SSL Zertifikaten von StartSSL absichern).

Ein digitales Zertifikat bestätigt bestimmte Eigenschaften von Personen und Objekten. Sie können Zertifikate selbst erzeugen oder bei einer Zertifizierungsstelle kaufen. Die technischen Vorgänge sind bei selbst zertifizierten und bei gekauften Zertifikaten die gleichen. Sie sind also „gleich sicher“. Der Unterschied besteht im Vertrauen in den Austeller des Zertifikats.

Heute will ich beschreiben, wie Sie ein Webhosting bei NOVATREND mit einem gekauften SSL/TLS-Zertifikat versehen.

Unser Kunstprojekt seafolly.ch möchte seine Dienste verschlüsselt über https:// anbieten. Als ich das initiale Einrichten des Webhostings beschrieben habe (Ein Webhosting Paket für das #kunstprojekt), habe ich bewusst auf das Bestellen eines Zertifikates verzichtet. Das will ich nun in diesem Beitrag nachholen.

Um auch Ihnen einen Anreiz zu geben, es ebenfalls so zu machen, bietet NOVATREND bis 31.12.2015 eine 50% Reduzierung des Preises für ein RapidSSL Zertifikat an.

Konfiguration

Bestellen Sie ihr Zertifikat auf https://www.novatrend.ch/de/ssl/.
Bei der Bestellung müssen Sie den Coupon Code SSL4CST2 eingeben, damit der 50 % Rabatt wirksam wird.

Gutscheincode für 50% Rabatt auf ein Zertifikat
Gutscheincode für 50% Rabatt auf ein Zertifikat

Im Warenkorb wird die Gesamtsumme entsprechend geändert. Das Zertifikat kostet nun 3,25 CHF pro Monat oder 39 CHF pro Jahr.

Warenkorb
Warenkorb
Nach der Bestellung erhalten Sie eine E-Mail, die den Kauf bestätigt und eine separate E-Mail mit Ihrem SSL-Token.

Inhalt der E-Mail
...
Die Installation können Sie in Ihrem Kontrollpanel (cPanel) innerhalb von
wenigen Minuten vornehmen. Klicken Sie hierzu auf Menüpunkt "Autoinstall SSL"
und folgenden Sie den Anweisungen. 
Eine Bildanleitung für das Installieren des SSL Zertifikats finden Sie unter dem folgenden Link:
https://support.novatrend.ch/hc/de/articles/207668548-SSL-Zertifikat-installieren
Sollten Sie Fragen zur Installation Ihres SSL Zertifikats haben, so stehen wir
Ihnen jederzeit gerne zur Verfügung. 
...

Ich wechsele in das cPanel von seafolly.ch und klicke auf den Menüpunkt AutoInstallSSL

cPanel - AutoinstallSSL
cPanel – AutoinstallSSL

Sie werden zur Eingabe des Tokens aus der E-Mail aufgefordert. Kopieren Sie es aus der E-Mail und klicken Sie den Button Verify Token.

cPanel - Überprüfung des Tokens
cPanel – Überprüfung des Tokens
Sie werden zu einem Formular weitergeleitet, in das Sie die Details zu Ihrer Domain eintragen müssen. Dort wählen Sie die Domain aus, für die Sie das Zertifikat verwenden möchten. Im Dropdown werden alle Domains angezeigt, welche Sie auf diesem Account eingerichtet haben.
Ich setze den Haken bei Would you like to use ‚www‘ during the CSR generation?, weil das Zertifikat auch für www.seafolly.ch gültig sein soll.
Anschliessend gebe ich die Adressdaten ein und klicke auf Submit.
cPanel - Pre-Enrollment Details
cPanel – Pre-Enrollment Details
cPanel überprüft nun das Token, erzeugt und überprüft die entsprechenden Schlüssel, kontaktiert die ausgebende CA, läd das neue Zertifikat herunter und installiert es auf Ihrem Webhosting.

Durch einen Klick auf den Test Button gelangen Sie direkt zu Ihrer Website. Das Zertifikat ist installiert und funktioniert.

seafolly.ch mit gültigem TLS/SSL Zertifikat
seafolly.ch mit gültigem TLS/SSL Zertifikat
Durch einen Klick auf den Button Manage Certificate können Sie das Zertifikat verwalten
seafolly.ch - Info zu TLS/SSL Zertifikat
seafolly.ch – Info zu TLS/SSL Zertifikat

Fazit

Die Aktion ging schnell von der Hand und der Traffic auf Ihrem Webhosting ist nun komplett verschlüsselt!


tl;dr: HTTPS Verschlüsselung ist kein Hexenwerk und funktioniert auch mit Ihrem Webhosting-Paket.

Kategorien
Security Server Verschlüsselung

Virtuelle Apache Hosts mit TLS/SSL Zertifikaten von StartSSL absichern

Verschlüsselung sollte einfacher nutzbar sein und Kommunikation grundsätzlich abgesichert werden um so die Massenüberwachung zu verhindern oder zumindest zu erschweren.

Nachdem ich in der letzten Woche das Thema TLS/SSL etwas ausführlicher beleuchtet habe, will ich in dieser Woche nun meine Beispielwebsites mit einem TLS Zertifikat versehen.

In meinem LAMP Stack auf dem Beispiel Root-Server läuft Ubuntu und der Apache 2 Webserver mit mehreren virtuellen Hosts.

Ein Root-Server hat „normalerweise“ (was ist schon normal in diesem Bereich 😉 ) eine IP-Adresse und einen Standard Host mit einem Domainnamen. Dieser Standard Host läuft auf Port 80. Die Apache Standard Konfiguration enthält auch einen TLS gesicherten Host, der läuft auf Port 443. In der Ubuntu Distribution ist der TLS/SSL Host vorkonfiguriert und kann mit den Befehlen.

sudo a2enmod ssl
sudo a2ensite default-ssl
sudo service apache2 reload

eingeschaltet werden. Ich hatte das im OwnCloud Artikel so gemacht und konnte daraufhin serverblogger.ch über http:// und https:// aufrufen. Der Haken bei der Sache ist, dass Ubuntu in diesem Zusammenhang in der Standardeinstellung ein selbst erstelltes Zertifikat nutzt. Dass hatte zur Folge, dass alle Browser darüber stolpern und ein PopUp Fenster mit einer Fehlermeldung anzeigen. Nach dieser Meldung werden vermutlich nicht viele Menschen die https:// Variante nicht besuchen. Wenn man die serverblogger.ch in einer Testsite wie https://www.ssllabs.com/ssltest/ aufruft, so sieht man das ganze Drama :).

In diesem Artikel will ich das Rating vom T auf ein A bringen.
In diesem Artikel will ich das Rating vom T auf ein A bringen.

Dazu erstelle ich ein kostenloses Zertifikat bei startssl.com und konfiguriere den Apache Webserver so, daß er mit mehrere Zertifikaten und mehreren virtuellen Servern mit unterschiedlichen Domainnamen zurechtkommt.

Ein kostenloses Webserver Zertifikat bei startssl.com erzeugen

Die Firma StartCom aus Israel bietet die Erstellung kostenloser Webserver-Zertifikate an und ist als Certified Authority (CA) in jedem Browser hinterlegt. Die Zertifikate sind also gültig und werden vom Browser akzeptiert. Die Schlüssel werden mittels Hardware generiert und sind laut FAQ sicher.

Achtung: StartSSL bietet an, Ihren privaten Schlüssel zur Erzeugung eines Zertifikats ebenfalls zu erstellen. Die von StartSSL erstellten privaten Schlüssel können natürlich von den üblichen Geheimdiensten mitgelesen/kopiert werden und StartSLL darf nichts sagen oder weiss es wirklich nicht. Wenn Sie Ihren privaten Schlüssel zur Erzeugung der Zertifikate selbst erzeugen UND mit einem Passwort versehen, sieht es mit der Sicherheit gar nicht so schlecht aus. Dieses grundsätzliche Problem hat man bei anderen CA’s ebenfalls.

Um Zertifikate erstellen zu können, muss man sich zunächst mit seinen persönlichen Daten registrieren.

Persönliche Daten
Persönliche Daten
Es wird eine E-Mail an die angegebene Adresse geschickt, die einen Überprüfungscode enthält.
Codeeingabe
Codeeingabe
Nachdem man den Code erfolgreich eingegeben hat, erzeugt der Browser einen privaten Schlüssel.

private key
private key
Mit diesem privaten Schlüssel wird ein Zertifikat erzeugt und in Ihrem Browser installiert. Dieses Zertifikat hat noch nichts mit den Webserver Zertifikaten zu tun. Sie authentifizieren sich damit in Zukunft gegenüber StartSSL. Ein Login mit Username und Passwort entfällt. Da dieser Schlüssel im lokalen Browser erzeugt wird, sollte es kein Problem darstellen. Ich bin da allerdings auch kein Spezialist und für Aufklärung dankbar.



Das Zertifikat wurde erzeugt und im Browser installiert. Sie können nun mit diesem Zertifikat Ihr StartSSL Konto verwalten! Sie sollten das Browserzertifikat sichern und an einem „sicheren Ort“ verwahren (z.B. USB Stick).

So sieht das bei mir im Firefox Browser aus …

StartSSL weiss nun, daß Sie es mit ein und derselben Person zu tun haben. Im nächsten Schritt muss ich die Domain, für die ich ein Webserver Zertifikat haben will, überprüfen lassen.

Domain überprüfen

Das Prinzip ist einfach. Klicken Sie auf Validation Wizard, fügen Sie Ihren Domainnamen ein, StartSSL schickt eine E-Mail an den administrativen Kontakt der Domain mit einem Code. Wenn Ihnen die Domain gehört, erhalten Sie den Code, geben ihn ein und haben dann 30 Tage das Recht Zertifikate zu erzeugen.


Die Domain ist nun überprüft und Sie können ein Webserver-Zertifikat erzeugen.

Webserver TLS/SSL Zertifikat erstellen

Als letzten Schritt erstellen Sie das eigentliche Zertifikat. Rufen Sie den Certificates Wizard auf und wählen zunächst den Typ des Zertifikats.


Beim nächsten Schritt ist es wichtig NICHT auf Continue, sondern auf Skip zu klicken und dann den privaten Schlüssel/Key selbst zu erzeugen. Der private Key wird auf Ihrem Root-Server gespeichert und der Apache Webserver liest ihn bei jedem Neustart ein und überprüft, ob die TLS Zertifikate zu diesem Key passen. Wenn Sie den Key mit einem Passwort versehen, was prinzipiell eine gute Idee ist, so müssen Sie das Passwort bei jedem Apache Neustart angeben. Alle mit diesem Key erzeugten Zertifikate sind nur gemeinsam mit Passwort gültig! Es gibt allerdings Möglichkeiten, diese Eingabe zu automatisieren.

Legen Sie sich auf dem Server mit dem folgenden Befehl einen privaten Schlüssel an:

openssl req -newkey rsa:4096 -sha256 -keyout private.key -out request.csr

Mit diesen Befehl wird ein 4096 bit langer RSA Schlüssel erzeugt. Der Algorithmus SHA-256 gilt momentan als sicher. Geben Sie ein Passwort ein (und vergessen Sie es nicht). Die dann folgenden Abfragen können mit der Enter Taste bestätigt werden, da die Daten von StartSLL ignoriert werden.

root@server1:/etc/ssl/myssl# openssl req -newkey rsa:4096 -sha256 -keyout private.key -out request.csr
Generating a 4096 bit RSA private key
....++
......................................++
writing new private key to 'private.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
root@server1:/etc/ssl/myssl#

Es entstehen zwei Dateien, eine heisst private.key und die andere request.csr. In der request.csr steht der Inhalt, den StartSSL für das Erstellen eines Zertifikats benötigt (csr = certified request).

Der Inhalt der request.csr Datei muss im nächsten Schritt in das Formularfeld kopiert werden.

StartSSL fragt die gewünschte Domain und eine Subdomain ab. Als Subdomainnamen gibt man normalerweise www ein.

Achtung: Das Zertifikat ist nur für diese eine Subdomain gültig. Weitere Subdomains sind nur kostenpflichtig möglich.

Nach der Domainauswahl erzeugt StartSSL nun das Zertifikat und zeigt es an.

Speichern Sie den Inhalt der Textbox in einer Datei (z.B. serverblogger.ch.crt) ab. Ausser diesem Zwischenzertifikat werden die intermediate und die root Zertifikate von StartCom benötigt. Auch diese Dateien im gleichen Verzeichnis speichern (der Übersicht halber). Sie finden die Dateien in der obigen Maske und in der Toolbox.

In Ihrem Verzeichnis befinden sich nun 5 Dateien

  • ca.pem
  • serverblogger.ch.crt
  • private.key
  • request.csr
  • sub.class1.server.ca.pem

Damit serverblogger.ch.crt gültig wird, muss noch der Inhalt des intermediate Zertifikats (sub.class1.server.ca.pem) in die Datei (serverblogger.ch.crt) kopiert werden.

—- BEGIN CERTIFICATE —-

… hier die Daten der serverblogger.ch.crt …

—- END CERTIFICATE —-

—- BEGIN CERTIFICATE —-

… hier die Daten der sub.class1.server.ca.pem …

—- END CERTIFICATE —-

Konfiguration des Apache Webservers

Dadurch, das ich namensbasierte virtuelle Hosts verwende (und normalerweise jeder dieser Hosts eine andere Domain hat), benötige ich für jeden virtuellen Host eine TLS/SSL Konfiguration.

Die Datei des virtuellen Servers muss entsprechend verändert werden.

<VirtualHost serverblogger.ch:80>
      ServerAdmin webmaster@serverblogger.ch
      ServerName serverblogger.ch
      ServerAlias www.serverblogger.ch
      DocumentRoot /var/www/serverblogger.ch/public_html/
      ErrorLog /var/www/serverblogger.ch/logs/error.log
      CustomLog /var/www/serverblogger.ch/logs/access.log combined
</VirtualHost>

<VirtualHost serverblogger.ch:443>
     DocumentRoot /var/www/serverblogger.ch/public_html/
     Servername serverblogger.ch
     SSLEngine On
     SSLCipherSuite AES128+EECDH:AES128+EDH
     SSLProtocol All -SSLv2 -SSLv3
     SSLHonorCipherOrder On
     SSLCertificateFile /etc/ssl/myssl/serverblogger.ch.crt
     SSLCertificateKeyFile /etc/ssl/myssl/private.key
     SSLCertificateChainFile /etc/ssl/myssl/sub.class1.server.ca.pem
     SSLCACertificateFile /etc/ssl/myssl/ca.pem
     Options -Indexes
</VirtualHost>

Wenn Sie nun den Apache neu starten, fragt er das Passwort ab

service apache2 restart
* Restarting web server apache2   Apache needs to decrypt your SSL Keys for serverblogger.ch:443 (RSA)
Please enter passphrase:

Nach Eingabe des richtigen Passwort sollte der Webserver starten und bei einer https:// Verbindung sollte im Browser folgendes zu sehen sein.

Erneuter Test

Ein erneuter Test bei ssllabs.com zeigt nun ein anderes Bild, der Server ist deutlich vertrauenswürdiger geworden.

SSL Report: serverblogger.ch

SSL Report: serverblogger.ch

Ein Konfigurationshilfe für andere Services finden Sie unter https://cipherli.st/

1. Hinweis: Die Einstellungen des SSL/TLS gesicherten Webservers sind jetzt so streng, daß sie beispielsweise dem Internet Explorer 8 verbieten auf die https:// Version der Site zuzugreifen. IE 8 betrifft etwa 1% aller Browser weltweit (oder knapp 10% aller Internet Explorer Versionen, deren gesamter Marktanteil bei etwa 8-10% liegt.

2. Hinweis: Wir bei NOVATREND verkaufen Ihnen ebenfalls Zertifikate von GeoTrust und von VeriSign/Symantec. Wir installieren Sie auch für Sie auf Ihrem Root-Server. Ich stelle das hier im Blog nochmal deutlich hervor, weil es für den professionellen Einsatz einfach eine praktische Dienstleistung ist.

3. Hinweis: Seit In ein paar Tagen ist wird unser Blog nur noch unter https://blog.novatrend.ch aufrufbar sein -> Update1 – Das Zertifikat fehlt noch.


tl;dr: Die Webserver Kommunikation auf einem Root-Server zu verschlüsseln ist gar nicht so schwer. Also los!