Spätestens seit Heartbleed sollte man sich mal etwas um seine SSL Installation auf dem Server kümmern. Neben fehenden Updates sollte man bei einem virtuellen Server auch mal die Einstellungen von mod_ssl prüfen. So werden bei einem virtuellen Root Server bei HostEurope zum Beispiel alle möglichen Versionen und Cipher-Suiten unterstützt, auch die als unsicher gelten müssen. Kuketz IT-Security hat im Zusammenhang mit der NSA Spähaffäre einen interessanten Blogartikel geschrieben, hier wird genau erklärt wie mod_ssl genau zu konfigurieren ist.
Jetzt kommt der schwere Teil, wo auf dem Server trage ich das ein? Die SSL Konfiguration muss in die VirtualHost Konfiguration der jeweiligen Webseite. Das wäre eine Konfigurationsdatei pro Domäne / Subdomäne. Auch wird die Datei bei manchen Änderungen im Plesk neu erstellt. Was nun?
Der Schlüssel ist die Anpassung der Plesk Vorlage
Zu nächst muss ein neues Verzeichnis erzeugt werden, im Falle eines CentOS ist das „/usr/local/psa/admin/conf/templates/custom“. In dieses Verzeichnis muss ein weiteres erstellt werden, das Verzeichnis domain. In dieses Verzeichnis muss die Datei „/usr/local/psa/admin/conf/templates/default/domain/domainVirtualHost.php“ kopiert werden. In diese Datei werden dann die Änderungen an der VirtualHost Konfiguration eingetragen. Nach dem das geschehen ist, muss die Konfigurationsänderung noch aktiviert werden, dazu muss der Befehl „/usr/local/psa/admin/bin/httpdmng –reconfigure-all“ ausgeführt werden und der Webserver neu gestartet werden.
Die Prüfung
Um zu sehen wie sich das jetzt auswirkt kann der Dienst „Qualys SSL Labs“ genutzt werden.
Wichtig ist aber, die Handshake Simulation zu Prüfen und ggf. auch zu testen. So kann auf meinem Server kein IE sich damit verbinden. Da ich aber SSL nur zur Absicherung der Administration brauche, kann ich damit leben.