Nach der Umstellung von Apache auf Nginx, der Installation von HHVM und dem Anpassen der HTTPS-Parameter läuft das Blog hier jetzt mehr als flott und die Sicherheit wird mit dem besten Ranking bewertet. Yeah!
Mit Nginx kann ich endlich auch die SSL-Parameter so anpassen, dass PFS unterstützt wird (was mit dem in Debian 7 mitgelieferten Apache 2.2 bisher nicht möglich war). Das Ergebnis zeigt die sehr gute Bewertung durch Qualys SSL Labs:
Qualys SSL Labs Test
[Mehr]StartSSL / StartCom Zertifikate und OCSP-Server Fehler
Einige nutzen sicher die Möglichkeit, von StartCom kostenlose SSL-Zertifikate für den eigenen Webserver zu erhalten. Diese kostenlosen Zertifikate sind ein Jahr gültig und müssen anschließend erneuert werden. Beim Einspielen des erneuerten Zertifikats ist jedoch Vorsicht geboten: Firefox fragt standardmäßig den im Zertifikat angegebenen OCSP-Server ab, das neu erstellte Zertifikat ist im OCSP-Server von StartCom aber noch nicht bekannt. Firefox-User erhalten eine Fehlermeldung mit dem Code: sec_error_ocsp_unknown_cert.
OCSP-Server Fehler Firefox
[Mehr]