Schlagwort: apache

  • Let’s Encrypt und Puppet

    Ich habe früher fast alle meine Zertifikate von CAcert bezogen. Ich habe sie regelmäßig aktualisiert und für das deployen habe ich ein Puppet Modul, dass die Zertifikate verteilt. Nach und nach bin ich auf Let’s Encrypt Zertifikate umgestiegen. Da ein hoher Grad an Automatisierung bei Let’s Encrypt immer wieder propagiert wird dachte ich mir, dass […]

  • Wartungsseite für alle Apache vhosts eines Webservers realisieren

    Über eine Lösung um einen einzelnen Apache Vhost mit einer Wartungsseite auszustatten habe ich bereits vor einigen Jahren hier geschrieben. Jetzt stand ich vor der Aufgabe wegen Wartungsarbeiten auf meinem Webserver eine Wartungsseite für alle dort gehosteten Apache Vhosts zu schalten. Davor sitzt ein Gate-Server mit Apache und mod_proxy. Eine Lösung das zu realisieren wäre […]

  • Apache: OCSP Stapling aktivieren

    Ab Apache Version 2.4 (in Debian Jessie enthalten) wird OCSP Stapling unterstützt. OCSP steht für Online Certificate Status Protocol. Damit kann die Gültigkeit eines Zertifikates abgefragt werden. Das ganze sieht in der Praxis dann so aus, dass wenn ein Nutzer eine Webseite über HTTPS aufruft, der Webbrowser dann eine im Zertifikat enthaltene OCSP Responder Adresse […]

  • SSL: Zertifikate auf sha2 Umstellen…

    Key und CSR neu erzeugen. Das -sha256 ist das entscheidende: openssl req -new -nodes -newkey rsa:2048 -sha256 -keyout sub.example.org.sha2.key -out sub.example.org.sha2.csr Wenn das Zertifikat im Apache eingebunden ist auch gleich prüfen ob SSLProtocol und SSLCipherSuite aktuell ist. Aktuelle Empfehlung von BetterCrypto.org lautet: SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite ‚EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384: EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128: +SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED: !ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA‘ Ob alles gut ist, […]