Es gibt viele Seiten die RC4 einsetzen, wovon neuerdings eher abgeraten wird (wie auf http://www.golem.de/news/ssl-tls-schwaechen-in-rc4-ausnutzbar-1303-98164-2.html oder http://blog.cryptographyengineering.com/2013/03/attack-of-week-rc4-is-kind-of-broken-in.html zu lesen ist). Hier möchte ich kurz zeigen, wie man RC4 deaktivert und SSL ein klein wenig absichert.
Umsetzen kann man das in dem man in der VirtuaHost Datei folgendes so ändert:
Unsichere Protokolle deaktivieren:
SSLProtocol TLSv1
Unsichere Ciphersuiten deaktivieren:
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!EDH:!3DES:!ADH
am ende sollte es dann so in etwa aussehen:
SSLProtocol TLSv1 SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!EDH:!3DES:!ADH
Zusätzlich gibt es noch ein nettes Apache2 Addon namens Strict Transport Security (HSTS), welches einem Angreifer erschwert, einen Nutzer von einer HTTPS gesicherten auf eine ungesicherte Seite der gleichen Domain umzuleiten. Das Addon sagt dem Browser, dass er die nächsten 365 Tage die Domain XXX nur noch über HTTPS aufrufen soll.
Modul aktivieren:
a2enmod headers
Nun den HSTS-Header in den dementsprechenden VirtualHost eintragen, wie z.B. hier:
ServerAdmin test@testo.de DocumentRoot /var/www Header always set Strict-Transport-Security "max-age=31536000"
Die Dauer kann man über den Wert „max-age“ in Sekunden einstellen!
Überprüfen kann man später alles mit folgender Webseite: https://www.ssllabs.com/ssltest/
