Apache – Anpassung SSL Protokolle und Cipher Suites

Ich nutze im privaten Umfeld seit Weihnachten 2018 einen virtuellen Server mit Ubuntu 18.04. Dort habe ich zur einfachen und schnelle Administration das kostenlose Panel KeyHelp installiert. Die Anwendung wird von KeyWeb entwickelt. Ideen und Wünsche der Community fließen regelmäßig in neue Versionen ein.

Aktuell wird der Webserver Apache2 unter Ubuntu 18.04 mit der Versionsnummer 2.4.29 ausgeliefert. Durch die Installation von KeyHelp und der Verwendung Let’s Encrypt wird auch das Modul SSL des Apache2 installiert und aktiviert. Standardmäßig sind natürlich SSL Protokolle wie TLS 1.0, TLS 1.1 und TLS 1.2 aktiviert. Zusätzlich ist eine große Anzahl von Cipher Suites konfiguriert um eine möglichstgroße Anzahl von Geräten bzw. Betriebssysteme und Browser zu erreichen.

Um unsichere Prokotolle und Cipher Suites zu deaktivieren, ist ein Eingriff via SSH direkt auf die zuständige Konfigurationsdatei des Apache2 bzw. Moduls notwendig. In diesem Fall handelt es sich um die Datei /etc/apache2/mods-enabled/ssl.conf.

Bisher/Standard:

Neu:

Anschließend muss der Webserver Apache2 neu gestartet werden:

Das Ergebnis bei Qualys SSL Server Test kann sich sehen lassen:

Die SSL Protokolle und Cipher Suites müssen natürlich mit der Zeit gepasst werden. Aktuell ist TLS 1.3 im Anmarsch und Cipher Suites  mit *CBC* werden nach und nach als unsicher eingestuft.

12.07.2019, 15:30 Uhr
Anpassung von SSLCipherSuite für die neuste Version des Apache2 bzw. OpenSSL unter Ubuntu 18.04.2 LTS.

02.08.2019, 22:29 Uhr

Anpassung von SSLCipherSuite für Qualys SSL Server Test.