Apache - Perfect Forward Secrecy aktivieren

Um Perfect Forward Secrecy für den Apache Webserver 2.4 und höher zu aktivieren, ist es notwendig, die Konfiguration so anzupassen, dass die richtigen Cipher Suites angeboten werden.

Apache Konfiguration

Die folgenden Anpassungen werden in der Konfiguration der Website vorgenommen, für die das SSL-Protokoll aktiviert ist. Diese Konfigurationsdateien befinden sich normalerweise in /etc/apache2/sites-enabled/. Mit den unten stehenden Parametern geben wir an, dass SSLv2 und SSLv3 nicht verwendet werden und dass der Webbrowser die angebotenen Verschlüsselungen respektieren muss.

<VirtualHost *:443>
...
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
...
</VirtualHost>

Jetzt können Sie über den SSLCipherSuite Parameter SSLCipherSuite bestimmen welche Cipher Suites Sie verwenden möchten. Verwenden Sie die Cipher Suites unten als Basis, RC4 schließen wir aus wegen der Schwachstellen die darin gefunden wurden.

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES128-SHA
DHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA256
DHE-RSA-AES256-SHA256
EDH-RSA-DES-CBC3-SHA

Die Notation in der Apache-Konfiguration enthält einen Doppelpunkt zwischen jeder Cipher Suite;

SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-EC...

Apache Webserver testen

Nach Angabe der Parametern in der Website-Konfiguration können Sie diese mit den folgendem Befehl testen:

apachectl configtest

Apache Webserver neu starten

Wenn keine Fehler gemeldet werden, kann der Apache-Webserver mit dem folgenden Befehl neu gestartet werden:

apachectl graceful