Apache SSL
Wozu? Im Bus laut telefonieren ist unhöflich. Die Verbindung wird mit SSL gut verschlüsselt.
Wie? Zertifikat + apache ssl Modul.
Eine schnelle Einrichtung schafft man in einer Minute.
…
Da gibt es leider nur noch ein Problem:
Will man in den erlesenen Club der Beglaubigten Zertifikatsbesitzer gelangen, muss man denen meistens was bieten.
Ansonsten erscheinen Zertifikatswarnungen. Weil wir unser eigenes Zeugnis unterschrieben haben.. la di dah.. 😉
Die Verschlüsselung funktioniert aber trotzdem!
Außerdem gibt es ja noch: https://letsencrypt.org/
Dort kann man sich nach ein freies Zertifikat ausstellen lassen. Habe es noch nicht selbst probiert aber klingt gut. Werde bei Gelegenheit berichten.
Zertifikat
Zertifikate hatten wir ja schon.
Wir brauchen für unseren WebServer nur diese zwei Dateien
debian-server.crt
debian-server.key
Also dann…
Machen wir das so: cert Ordner in /etc/apache2 erstellen. debian-server.crt und die debian-server.key in /etc/apache2/cert/ legen oder verlinken.
Apache Einrichtung
Apache SSL Modul aktivieren: a2enmod ssl
Dann noch in der ports.conf schauen ob der ssl port gesetzt ist.
Dieser Eintrag sollte drin sein:
<IfModule mod_ssl.c>
Listen 443
</IfModule>
Meist liegt bei einem frisch installiertem Apachen auch schon eine gut kommentierte default-ssl Seite. a2ensite default-ssl
Oder selbst einen Virtual Host anpassen… etwa so:
<VirtualHost *:443>
DocumentRoot /var/www/html
ServerName debian-server.lan
SSLEngine on
SSLCertificateKeyFile /etc/apache2/cert/debian-server.key
SSLCertificateFile /etc/apache2/cert/debian-server.crt
</VirtualHost>
/etc/init.d/apache2 reload
jetzt https://debian-server.lan und es erscheint die erhoffte Warnmeldung.
(net::ERR_CERT_AUTHORITY_INVALID)
Können das Zertifikat jetzt auch noch einmal anschauen und abgleichen, akzeptieren und die „Unsichere Seite“ verschlüsselt besuchen.
Wie Sicher ist sicher?
Durch einen kleinen Programmierfehler bei dem in v1.0.1 eingeführtem Heartbeat Mechanismus, bei dem der Server auf Anfrage immer ein ihm zugesandtes Datenpaket zurück schicken sollte.. wurde aber wenn der Client nett fragt auch gerne mehr zurückschickt als beabsichtigt. Nämlich Teile aus dem RAM des Servers.
Das nannte sich dann Heartbleed.
Die Sicherheitslücke wurde im März 2012 in der v1.0.1 implementiert und erst im April 2014 mit der v1.0.1g geschlossen.
Es gibt leider noch weitere Angriffsmöglichkeiten gegen SSL. Mehr dazu bei Gelegenheit
Schreibe einen Kommentar