Nach der Umstellung auf Zertifikate von Let's Encrypt hat sich das Ranking des Blogs in Bezug auf sichere Transportverschlüsselung gegenüber der vorherigen Konfiguration weiter erhöht. Gründe dafür sind der verwendete Signaturalgorithmus SHA256 für den Zertifikatskey und der Einsatz von HSTS.
HSTS kann in Nginx ganz einfach mit einer einzigen Zeile an entsprechender Stelle aktivieren werden:
add_header Strict-Transport-Security max-age=31536000;
Dadurch wird festgelegt, dass der Browser für den angegebenen Zeitraum (hier 31536000 Sekunden = 365 Tage) ausschließlich verschlüsselte Verbindungen mit dieser Domain nutzt. Da diese Einstellung im Browser des Besuchers gespeichert wird, sollte vor der Aktivierung unbedingt getestet werden, ob auf der Webseite auch wirklich nur Ressourcen eingebunden sind, die per HTTPS abgerufen werden können.
Es sollte gleichzeitig auch noch folgender Header eingefügt werden, der verhindert, dass die Webseite in einem Frame eingebunden werden kann.
add_header X-Frame-Options DENY;
Auf der Webseite von Qualys kann jeder selbst überprüfen, ob die Transportverschlüsselung des eigenen Webserver korrekt konfiguriert ist.
Welches Ranking sprichst du hier an, doch nicht das Google Ranking :)?
Ach, das A bzw. A+ bei SSL Labs ;- )
Beim Setzen des X-Frame-Options-Headers sollte man allerdings bedenken, dass die Website dann auch bei der Google-Bildersuche nicht im iFrame angezeigt wird (Bilder sollten aber gelistet bleiben)!
Klar, das ist zwar logisch, aber dennoch denkt man da nicht sofort dran.