Nach der Umstellung von Apache auf Nginx, der Installation von HHVM und dem Anpassen der HTTPS-Parameter läuft das Blog hier jetzt mehr als flott und die Sicherheit wird mit dem besten Ranking bewertet. Yeah ;)

Mit Nginx kann ich endlich auch die SSL-Parameter so anpassen, dass PFS unterstützt wird (was mit dem in Debian 7 mitgelieferten Apache 2.2 bisher nicht möglich war).  Das Ergebnis zeigt die sehr gute Bewertung durch Qualys SSL Labs:

Qualys SSL Labs Test

Leider habe ich damit auch alle Internet-Explorer-Benutzer, die noch Windows-XP einsetzen, ausgeschlossen. Der IE unter Windows-XP kann kein Perfect Forward Secrecy (PFS). PFS bedeutet, dass nach dem Entschlüsseln einer Nachricht und damit dem Bekanntwerden eines geheimen Schlüssels, nicht automatisch alle anderen mitgeschnittenen Nachrichten entschlüsselt werden können.

Sofern ihr eine Webseite betreibt, die per HTTPS erreichbar ist, dann könnt ihr auf den Seiten von Qualys selbst testen, was evtl. noch verbesserungswürdig an der verschlüsselten Übertragung eurer Webseite ist.

Einige nutzen sicher die Möglichkeit, von StartCom kostenlose SSL-Zertifikate für den eigenen Webserver zu erhalten. Diese kostenlosen Zertifikate sind ein Jahr gültig und müssen anschließend erneuert werden. Beim Einspielen des erneuerten Zertifikats ist jedoch Vorsicht geboten: Firefox fragt standardmäßig den im Zertifikat angegebenen OCSP-Server ab, das neu erstellte Zertifikat ist im OCSP-Server von StartCom aber noch nicht bekannt. Firefox-User erhalten eine Fehlermeldung mit dem Code: sec_error_ocsp_unknown_cert.

OCSP-Server Fehler Firefox

Nach bisherigen Erkenntnissen dauert es ca. 6 bis 12 Stunden, bis das Zertifikat beim OCSP-Server bekannt ist. Man sollte also vor dem Einspielen des neuen Zertifikats auf den Webserver eine gewisse Zeitspanne warten.

Alternativ kann die OCSP-Überprüfung in Firefox auch vorübergehend deaktiviert werden. Hier sollte man aber wirklich wissen, was man tut. Die Einstellung ist unter dem Tab Zertifikate bei Validierung zu finden:

Firefox OCSP Einstellungen