Wer einen Webserver aufsetzen und betreiben möchte, muss sich erstmal Gedanken machen, was damit überhaupt erreicht werden soll. Je nach Anwendungsfall, werden unterschiedliche Module und Konfigurationen benötigt. Grundsätzlich sollte jeder Webserver alle Daten ausschließlich verschlüsselt ausliefern. Hierbei gibt es jedoch kein Pauschalrezept, da jeder Webserver wie z.B. nginx oder Apache seine eigene Konfiguration erfordert. Gerade Anfänger auf diesem Gebiet, tun sich hier oft schwer und haben bereits Probleme, welche Zertifikate überhaupt benötigt werden und was damit getan werden muss. Beim Thema Zertifikat lohnt sich immer ein Blick auf Let’s Encrypt. Hierbei lassen sich kostenlose x.509 Zertifikate, die zur Verschlüsselung benötigt werden, erzeugen. Wie die Installation samt Konfiguration erfolgen kann, habe ich bereits hier beschrieben. Klick. Sind die Zertifikate bereits verfügbar, geht es darum, den Webserver entsprechend zu konfigurieren.
Hier hat Mozilla auf Github einen netten und gut brauchbaren Konfigurator veröffentlicht, der eine fertige Grundkonfiguration ausspuckt, nachdem er mit den nötigsten Informationen gefüttert wurde. Erreichbar ist der Konfigurator über folgenden Link: https://mozilla.github.io/server-side-tls/ssl-config-generator/
Hier muss jetzt der verwendete Webserver sowie ein Konfigurationsprofil (Modern, Intermediate, Old) gewählt werden. Grundsätzlich sollte Modern in den meisten Fällen Sinn machen. Aus Kompatibilitätsgründen lässt sich jedoch auch Intermediate wählen. Die Empfehlung wird dann direkt angezeigt und kann in die Konfiguration des eigenen Webservers übernommen werden. Hierbei muss darauf geachtet werden, dass Pfade für die Zertifikatsdateien angepasst werden. Die Konfigurationsdateien liegen hier je nach Webserver und Distribution an unterschiedlichen Stellen. Im Zweifelsfall lohnt sich hier ein Blick in das Wiki der eingesetzten Distribution. Wer sich im Detail für die unterschiedlichen Konfigurationsmöglichkeiten interessiert findet eine ausführliche Dokumentation unter folgendem Link: Klick
Der Erfolg der SSL/TLS Konfiguration lässt sich auf der Seite von SSLLabs testen.
Für fortgeschrittene Einsatzzwecke lässt sich die SSL Konfiguration noch erweitern. Für eine erste vernünftige Verschlüsselung der Kommunikation ist es jedoch ausreichend, die Empfehlungen von Mozilla anzuwenden. Hierbei sind lediglich zwei Mausklicks erforderlich, um ein Konfigurationsprofil zu erhalten.