Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision |
centos:web_c7:apache_2 [29.11.2016 19:07. ] – [OCSP Stapling] django | centos:web_c7:apache_2 [27.01.2018 20:58. ] – [Fachliteratur] django |
---|
===== Dokumentation ===== | ===== Dokumentation ===== |
==== Fachliteratur ==== | ==== Fachliteratur ==== |
Das Buch **[[https://www.feistyduck.com/books/bulletproof-ssl-and-tls/|Bulletproof SSL and TLS]]** von **[[http://blog.ivanristic.com/|Ivan Ristić]]** bringt viele wertvoller Erklärungen und kann jedem interessierten Webmaster wärmstens empfohlen werden! Neben den Grundlagen zu SSL/TLS und PKI finden sich dort auch weiterführende Konfigurationsbeispiele unter anderem zu unserem **//Apache-Webserver 2.4//**. Außerdem erhält man als registrierter Leser wervolle aktulisierte News in Form von regelmäßigen eMails, in denen aktuellste Enticklungen und Schwachstellen beleuchtet werden. Also alles in allem sehr gut angelegte 55€ - das Buch **978-1-907117-04-6** (ISBN) ist in jedem gut sortierten Buchhandel vor Ort erhältlich sein sollte. | <WRAP center round tip 90%> |
| Das Buch **[[https://www.feistyduck.com/books/bulletproof-ssl-and-tls/|Bulletproof SSL and TLS]]** von **[[http://blog.ivanristic.com/|Ivan Ristić]]** bringt viele wertvoller Erklärungen und kann jedem interessierten Webmaster wärmstens empfohlen werden! Neben den Grundlagen zu SSL/TLS und PKI finden sich dort auch weiterführende Konfigurationsbeispiele unter anderem zu unserem **//Apache-Webserver 2.4//**. Ausserdem erhält man als registrierter Leser wertvolle aktualisierte News in Form von regelmässigen eMails, in denen aktuellste Entwicklungen und Schwachstellen beleuchtet werden. |
| |
| Also alles in allem sehr gut angelegte 55€ - das Buch **978-1-907117-04-6** (ISBN) ist in jedem gut sortierten Buchhandel vor Ort erhältlich sein sollte. |
| </WRAP> |
| |
| |
==== Seiten im WWW ==== | ==== Seiten im WWW ==== |
| |
https://mozilla.github.io/server-side-tls/ssl-config-generator/ | https://mozilla.github.io/server-side-tls/ssl-config-generator/ |
| |
| ==== HSTS ==== |
| |
| |
| In der vHost-Definition unseres Apache-vHOST ergänzen wir folgende Zeile ''Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"''. |
| # vim /etc/httpd/conf.d/forum.conf |
| |
| <code bash>... |
| |
| # HTTP Strict Transport Security (HSTS), bei dem der Server dem Client im |
| # HTTP-Header mitteilt, dass dieser nur noch verschlüsselt mit dem Server |
| # kommunizieren soll. |
| Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" |
| |
| ...</code> |
| |
==== OCSP Stapling ==== | ==== OCSP Stapling ==== |
| |
Zum Testen kann man alternativ auch den Test bei [[https://www.ssllabs.com/ssltest/|Qualys SSL Labs]] oder [[https://observatory.mozilla.org/|Observatory by Mozilla]] nutzen. | Zum Testen kann man alternativ auch den Test bei [[https://www.ssllabs.com/ssltest/|Qualys SSL Labs]] oder [[https://observatory.mozilla.org/|Observatory by Mozilla]] nutzen. |
| |
| ==== Secure Cookie mit HttpOnly ==== |
| |
| In der vHost-Definition unseres Apache-vHOST ergänzen wir folgende Zeile ''Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure |
| ''. |
| # vim /etc/httpd/conf.d/forum.conf |
| |
| <code bash>... |
| |
| # Add Secure and HTTP only attributes to cookies |
| Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure |
| |
| ...</code> |
| |
| https://tools.geekflare.com/web-tools/http-header-analyzer |
| |
| | set-cookie: | Forum=rtg65np1t1cvnrg7n30l8mad67; path=/; secure; \\ HttpOnly;HttpOnly;SecureDW7fa065a06cb74b536c124cfbe56ac6d3=deleted; \\ expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; secure; httponly;HttpOnly;Secure | |
| |
| **HttpOnly** und **Secure** kennzeichnen die erfolgreiche Änderung! |
| |
| |
| |
| |
| |
| |
| |
| |
==== HPKP ==== | ==== HPKP ==== |
[[https://observatory.mozilla.org/|Observatory by Mozilla]] \\ | [[https://observatory.mozilla.org/|Observatory by Mozilla]] \\ |
[[https://www.ssllabs.com|Qualys SSl Labs SSL Server Test]] \\ | [[https://www.ssllabs.com|Qualys SSl Labs SSL Server Test]] \\ |
| [[https://securityheaders.io|SecurityHeaders.io by Scott Helme]] \\ |
| |