Die aktuelle Basiskonfiguration von Plesk beim Hosting läßt einige Wünsche offen.
Die Bewertung beim Qualys SSL Test war miserabel. Aber es läßt sich relativ einfach beheben.
NGINX dient als Reverse Proxy und das Hosting findet unter Apache statt.
Die ersten Schritte sind hier bestens beschrieben.
Nun werden noch die dhparam angepaßt.
1 |
openssl dhparam -out /etc/ssl/dh4096.pem 4096 |
Weiter geht es mit diesen Änderungen in den folgenden Dateien.
- /usr/local/psa/admin/conf/templates/custom/nginxWebmailPartial.php
- /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
- /usr/local/psa/admin/conf/templates/custom/server/nginxVhosts.php
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA$ ssl_prefer_server_ciphers on; ssl_dhparam /etc/ssl/dh4096.pem; # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months) add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/ssl/bundle_certs.pem; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 15s; |
Anschließend noch
1 |
/usr/local/psa/admin/bin/httpdmng --reconfigure-all |
ausführen für die Übernahme der Änderungen.
Hier die etwas moderateren Cipher Suiten (von älteren Browsern noch unterstützt.
1 |
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA; |
Oder eben meine Auswahl (eigentlich von Mozilla)
1 |
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK; |
Weitere Empfehlung
1 |
EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH |
Hallo,
Danke für das Howto 🙂 Danachhabe ich lange gesucht. Ich habe Plesk mit Niginx und Apache 2.4.7 am laufen.
Leider funktioniert der Weg wie Du Ihn hier beschreibst nicht so wirklich bei mir. Könntest Du mal sagen wohin Du die Einträge in den Dateien
/usr/local/psa/admin/conf/templates/custom/nginxWebmailPartial.php
/usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
/usr/local/psa/admin/conf/templates/custom/server/nginxVhosts.php
genau hin setzt?
Bei mir sagt sslabs aus das ich immer noch nicht dei 4096 pem verwende. Allerdings habe ich es auch nur in die
/usr/local/psa/admin/conf/templates/custom/server/nginxVhosts.php
kopiert.
Danke schon mal 🙂
Rene
Hoi Rene,
Im Prinzip wird nur ein vorhandener Block ergänzt. Es kommt nicht wirklich was komplett Neues hinzu.
Dieser Teil müßte ja bereits in der nginxWebmailPartial.php drin stehen.
ca): ?>
ssl_client_certificate caFilePath ?>;
ssl_session_timeout 5m;
Und direkt dahinter den oben gezeigte Code.
Zu dhparam. Es sollte in jeder der 3 Dateien drin sein.
Und hast Du mit
nginx -s reload
den Dienst neu gesartet?
Hallo Meistro 🙂
Perfekt! Danke Dir!! Funktioniert nun 1 A+ ^^
Rene
Super. Freut mich.
Wünsche Dir noch ein schönes Wochenende.