http Verschlüsseln

apache_sslApache SSL

Wozu? Im Bus laut telefonieren ist unhöflich. Die Verbindung wird mit SSL gut verschlüsselt.
Wie? Zertifikat + apache ssl Modul.

Eine schnelle Einrichtung schafft man in einer Minute.

Da gibt es leider nur noch ein Problem:
Will man in den erlesenen Club der Beglaubigten Zertifikatsbesitzer gelangen, muss man denen meistens was bieten.
Ansonsten erscheinen Zertifikatswarnungen. Weil wir unser eigenes Zeugnis unterschrieben haben.. la di dah.. 😉

Die Verschlüsselung funktioniert aber trotzdem!

letsencrypt_logoAußerdem gibt es ja noch: https://letsencrypt.org/
Dort kann man sich nach ein freies Zertifikat ausstellen lassen. Habe es noch nicht selbst probiert aber klingt gut. Werde bei Gelegenheit berichten.

openssl_logoZertifikat

Zertifikate hatten wir ja schon.

Wir brauchen für unseren WebServer nur diese zwei Dateien

debian-server.crt
debian-server.key

Also dann…
Machen wir das so: cert Ordner in /etc/apache2 erstellen. debian-server.crt und die debian-server.key in /etc/apache2/cert/ legen oder verlinken.

Apache Einrichtung

Apache SSL Modul aktivieren: a2enmod ssl
Dann noch in der ports.conf schauen ob der ssl port gesetzt ist.
Dieser Eintrag sollte drin sein:

<IfModule mod_ssl.c>
 Listen 443
</IfModule>

Meist liegt bei einem frisch installiertem Apachen auch schon eine gut kommentierte default-ssl Seite. a2ensite default-ssl

Oder selbst einen Virtual Host anpassen… etwa so:

<VirtualHost *:443>
 DocumentRoot /var/www/html
 ServerName debian-server.lan
 SSLEngine on
 SSLCertificateKeyFile /etc/apache2/cert/debian-server.key
 SSLCertificateFile /etc/apache2/cert/debian-server.crt
</VirtualHost>

/etc/init.d/apache2 reload

jetzt https://debian-server.lan und es erscheint die erhoffte Warnmeldung.
(net::ERR_CERT_AUTHORITY_INVALID)

Können das Zertifikat jetzt auch noch einmal anschauen und abgleichen, akzeptieren und die „Unsichere Seite“ verschlüsselt besuchen.

Wie Sicher ist sicher?
Durch einen kleinen Programmierfehler bei dem in v1.0.1 eingeführtem Heartbeat Mechanismus, bei dem der Server auf Anfrage immer ein ihm zugesandtes Datenpaket zurück schicken sollte.. wurde aber wenn der Client nett fragt auch gerne mehr zurückschickt als beabsichtigt. Nämlich Teile aus dem RAM des Servers.
Das nannte sich dann Heartbleed.
Die Sicherheitslücke wurde im März 2012 in der v1.0.1 implementiert und erst im April 2014 mit der v1.0.1g geschlossen.

Es gibt leider noch weitere Angriffsmöglichkeiten gegen SSL. Mehr dazu bei Gelegenheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

four + four =