Einleitung:
Das Team von Qualsys (https://www.qualys.com/) hat ein SSL-Test-Tool entwickelt. Mit diesem Tool können SSL-Konfigurationen getestet und bewertet werden: https://www.ssllabs.com
Die Bewertungen (Ratings) gehen dabei von A bis F. “A+” steht für sehr gut, und “F” gilt als extrem unsicher. Ziel eines jeden Admins sollte es sein, hier eine möglichst gute Bewertung zu erzielen.
Mozilla hat eine sehr detaillierte Auflistung veröffentlicht, welche SSL-Cipher geeignet sind und welche Browser hier unterstützt werden: https://wiki.mozilla.org/Security/Server_Side_TLS
Ziel der Anleitung soll es sein, beispielsweise für das Webmail eine A-Grade Bewertung erhalten.
Was wird benötigt:
- Sie benötigen ein geeignetes SSL-Zertifikat. Wir verwenden fast ausschließlich RapidSSL. Sollten Sie noch keines haben, können Sie bei uns beispielsweise eines erwerben: http://mailserver-ssl.de .
- Die aktuellste Version von AXIGEN
Einstellungen:
In den SSL-Listenern müssen folgende Parameter gesetzt sein:
| Erlaubte SSL-Verfahren: | TLS1.0, TLS1.1 and TLS1.2 |
| Cipher Suite: | !AECDH:!ADH:!aNULL:!eNULL:!RC4:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!EDH:!EXPORT |
| Prefer server’s cipher suite order: | Angehakt |
| Use Ephemeral Key: | Angehakt |
Das Ergebnis:
Das Ergebnis ist eine A-Bewertung, wie man bei einem unserer Testserver sehen kann:
Einschränkung:
Sie sperren damit Windows XP-Benutzer mit dem IE6 aus. Aber diese Kombination verwendet hoffentlich niemand mehr 🙂