@SpRuZ Die Cipher und Protokolle die dein Browser unterstützt sind nicht nur da um dich zu ärgern. Auch wenn in der Computerbild oder irgendeinem Blog steht das man die deaktivieren soll ist es meiner Meinung nach keine gute Idee. Man darf sich dann auf jeden Fall nicht wundern wenn viele Seiten nicht mehr richtig funktionieren.
OpenSSL unterstützt TLS 1.1 und 1.2 erst seit Version 1.0.1 aus März 2012. Einige Linux-Distributionen haben noch eine ältere Version und auf solchen Servern ist TLS 1.0 leider das einzig praktikable.
@Opik Mit dem SSLLabs server test sieht man schön was es bezüglich der SSL Konfiguration noch zu optimieren gibt.
- Das "Addtrust External CA Root" Zertifikat mit dem Hash 02faf3e291435468607857694df5e45b68851868 ist unnötigerweise mit im Zertifikat eingebunden. Damit wird bei jedem SSL Handshake ~1KB mehr übertragen als notwendig. Das Zertifikat wird nie benötigt weil es die Browser bereits selber mitbringen. Clients vertrauen nie vom Server gesendete Root-Zertifikate. Dies ist der Fehler "Contains anchor" im Test.
- Als Protokolle sind nur SSLv3 und TLS 1.0 aktiv. Spätestens seit POODLE sollte SSLv3 auf dem Server komplett deaktiviert werden. Seit OpenSSL 1.0.1 aus März 2012 wird auch TLS 1.1 und TLS 1.2 unterstützt die um einiges sicherer sind als TLS 1.0. Es sollte daher OpenSSL aktualisiert werden und in der nginx config das hier stehen: "ssl_protocols TLSv1 TLSv1.1 TLSv1.2;". Neben allen aktuellen Distros haben auch die CentOS und Ubuntu Vorgänger ausreichend aktuelle OpenSSL-Versionen. Nur der Vorgänger der aktuellen Debian-Version (also squeeze) hat noch ein altes OpenSSL. Falls dies eingesetzt wird könnte langsam mal auf wheezy aktualisert werden...
- Zusätzlich kann man im nginx super simpel das SPDY Protokoll aktivieren, einfach statt "listen 443 ssl;" schreiben: "listen 443 ssl spdy;" und restart. Besonders bei einem Forum mit den ganzen kleinen Profil-Bildern sollte das Geschwindigkeitsvorteile bringen da eine TCP-Verbindung für die Übertragung vieler Dateien genutzt wird.
- Damit Browser beim Aufbau der SSL-Verbindung nicht erstmal den Comodo-Server fragen ob das Zertifikat noch gültig ist sollte OCSP stapling aktiviert werden, damit cacht der cc-community.net Server die OCSP-Daten und sendet sie direkt beim Verbindungsaufbau mit. Zusammen mit einer Optimierung der SSL-Performance bzgl. Latenz im Vergleich zu dem default Datendurchsatz kann die Config dafür so aussehen:
Code:
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 60m;
ssl_buffer_size 4k; # Reduce Time-to-first-byte
- Zu guter letzt sollten beim HSTS-Header noch die Subdomains inkludiert werden: add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
Wenn dann auch noch IPv6 aktiviert wird bin ich vollständig zufrieden. Edis unterstützt ja IPv6 zumindest bei den KVM-Servern 
Bei Fragen bin ich gerne per PM behilflich.
Grüße,
QuicksandF
