Dieser Blogpost zeigt euch, wie ihr euer SSL härtet und gleichzeitig Kompatibilität zu älterer Software wahrt: Hardening Your Web Server’s SSL Ciphers
Auf diese Cipherkette setze ich schon ein paar Wochen. Anleitungen zum Einrichten mit Apache und Nginx sind mit dabei.

In Zeiten der Vollüberwachung durch die NSA und andere Geheimdienste weltweit sind auch die bekannten Certificate Authorities (CA) wie z.B. Verisign nicht mehr wirklich vertrauenswürdig. Man kann davon ausgehen, dass die NSA auch Zugriff auf die Schlüssel dieser CAs hat, sodass sie gefälschte Zertifikate ausstellen kann. Diese können dann dazu dienen, Datenverkehr zu manipulieren und mitzuschneiden. So ist die Verschlüsselung natürlich nutzlos und private Daten gelangen in falsche Hände.

Wer sich unabhängig von den großen, offiziellen Certificate Authorities machen will, kann ganz einfach seine eigene eröffnen. Dazu braucht es nicht mehr als eine Ubuntu / Linux – Installation und das OpenSSL Paket, das alles mitbringt, was wir für das Erzeugen der Zertifizierungsstelle und das Signieren von Serverzertifikaten brauchen. Diese selbst erstellten Zertifizierungsstellen und die von ihnen signierten Zertifikate sind natürlich nicht von Browsern und Betriebssystemen anerkannt, sodass diese Warnmeldungen ausgeben. Das kann man aber verhindern, indem man auf diesen Computern das CA Root Zertifikat installiert.

Weiterlesen ›

Google, Amazon, Twitter, Onlineshops… sie alle bieten eine verschlüsselte Verbindung zu ihren Servern an, wenn es um sensible Daten geht, die über das Internet ausgetauscht werden sollen. Mit OpenSSL und dem SSL Modul könnt ihr eurem eigenen Apache Webserver die Verschlüsselung beibringen.

Weiterlesen ›