Was ist SSL Labs?
SSL Labs ist ein kostenloser, nichtkommerzieller Dienst des Cybersecurity-Unternehmens Qualys. SSL Labs gibt eine kostenlose Bewertung der Sicherheit der Verbindung einer Website SSL Labs bewertet kostenlos die Sicherheit der Verbindung einer Website und vergibt eine Note von A+ bis F. Wenn Sie einen Test bei SSL Labs durchführen, werden die SSL/TLS-Konfigurationen (Secure Sockets Layer / Transport Layer Security) Ihres Servers und das Zertifikat, das Teil der PKI (Public Key Infrastructure) ist, überprüft. Insgesamt gibt die von SSL Labs vergebene Note Aufschluss über die Sicherheit und Verschlüsselungsqualität der Verbindung Ihres Webservers.
Welche Noten verteilt SSL Labs?
Die aus einem Buchstaben bestehende Note ist eine Art Durchschnittsnote aus allen Tests. Eine A-Note entspricht einer Punktzahl von 80/100 oder höher. Ein A+ erfordert 80/100 oder höher, keine Warnungen und eine Unterstützung von HTTP Strict Transport Security (HSTS) mit einem maximalen Alter von mindestens sechs Monaten.
Ein A+ zu erhalten, ist das ultimative Ziel für jeden sicherheitsbewussten Website-Besitzer oder Administrator. Die Note A+ zeigt Benutzern, Suchmaschinen und anderen Webdiensten, dass Ihre Website vertrauenswürdig ist und die besten Praktiken in Bezug auf Sicherheit und Verschlüsselung anwendet. Ein A+ kann Ihrem Suchmaschinen-Ranking helfen und die Benutzerfreundlichkeit verbessern.
Finden wir nun heraus, warum Sie einen SSL-Labs-Test brauchen. Wir werfen einen ausführlichen Blick auf einen SSL-Labs-Bericht und ermitteln, wie Sie Ihren nginx-Server konfigurieren, um die Note A+ zu erhalten.
Warum Sie einen SSL-Labs-Test brauchen
Betrachten Sie SSL Labs als einen kostenlosen Sicherheitsbericht. Die Note A+ ist zwar das ultimative Ziel, aber ein SSL-Labs-Test ist auch dann wertvoll, wenn Sie sich nicht sicher sind, dass Sie die beste Note erhalten werden. Niedrigere Noten liefern nützliches Feedback, indem sie Bereiche aufzeigen, die verbesserungswürdig sind. Durch das Aufzeigen von Sicherheitsschwächen können Sie mit einem SSL-Labs-Bericht Schwachstellen beheben, bevor jemand sie ausnutzen kann. Sie können den Test auch regelmäßig wiederholen, um zu prüfen, ob Ihre Note gleichbleibend ist oder sich verbessert. So gewährleisten Sie, dass Sie mit den neuesten bewährten Sicherheitspraktiken auf dem Laufenden sind.
Es ist erwähnenswert, dass die SSL-Note nur einen Sicherheitsaspekt widerspiegelt: den Kommunikationskanal zwischen einer Website und ihren Benutzern. Die Bedeutung der Kanalsicherheit variiert je nach Anwendungsfall. Für öffentliche Inhalte ist sie optional, aber für hochsensible Inhalte wie persönliche Daten oder Zahlungsinformationen ist sie absolut entscheidend. SSL/TLS ist eine großartige Grundlage, auf der Sie Ihre Sicherheitsprotokolle aufbauen können. Es handelt sich allerdings um kein vollständiges Protokoll.
Wie sieht ein SSL-Labs-Testbericht aus?
Wenn Sie einen Test mit SSL Labs durchführen, kann die Ausgabe überwältigend und schwer zu verstehen sein. Aber wenn Sie nicht den gesamten Bericht verstehen, werden Sie nicht herauslesen können, ob es Bereiche gibt, in denen Sie Ihre Sicherheit und Ihre Note weiter verbessern können. Schauen wir uns die wichtigsten Bestandteile des Testberichts an.
Wie Sie Ihren nginx-Webserver für die Note A+ konfigurieren
Um eine Punktzahl von mindestens 80/100 zu erreichen, müssen Sie die folgenden Mindestanforderungen erfüllen:
- Protokoll SSL 3.0 und höher (in der Praxis sind Protokolle unter TLS 1.2 im Jahr 2021 oder früher veraltet)
- Schlüsselaustausch mit Schlüsselstärke und DH-Parameter größer als oder gleich 1024 Bit
- Kryptografische Stärke der verwendeten Chiffre größer oder gleich 128 Bit
- HSTS-Unterstützung
Auf der Grundlage der obigen Anforderungen und moderner Sicherheitsanforderungen werden wir für dieses Tutorial die folgenden Einstellungen verwenden:
- Protokolle TLS 1.2 und TLS 1.3
- Schlüsselaustausch mit einer Schlüsselstärke von 4096 Bit
- Chiffren mit einer kryptografischen Stärke von 128 Bit oder mehr (aus dem Mozilla Intermediate Compatibility Set)
- Bevorzugung von Server-Chiffren gegenüber Client-Chiffren
- HSTS
Bitte beachten Sie, dass die Einstellungen die Kommunikation mit dem Webserver für Clients blockieren können, die seit 5–10 Jahren kein Sicherheitsupdate mehr erhalten haben (z. B. Clients mit Windows 7 ohne alle Sicherheitsupdates). In der Regel sind nur sehr ältere Kunden betroffen.
Lassen Sie uns nginx so konfigurieren, dass es die oben genannten Einstellungen verwendet.
server {
listen 443 ssl;
ssl_certificate /path/to/server/vhost.crt;
ssl_certificate_key /path/to/server/vhost.key;
# allowed protocols
ssl_protocols TLSv1.2 TLSv1.3;
# prioritize server ciphers over client ciphers
ssl_prefer_server_ciphers on;
# Mozilla Intermediate compatibility cipher set
# ECDHE-ECDSA-AES128-GCM-SHA256
# ECDHE-RSA-AES128-GCM-SHA256
# ECDHE-ECDSA-AES256-GCM-SHA384
# ECDHE-RSA-AES256-GCM-SHA384
# ECDHE-ECDSA-CHACHA20-POLY1305
# ECDHE-RSA-CHACHA20-POLY1305
# DHE-RSA-AES128-GCM-SHA256
# DHE-RSA-AES256-GCM-SHA384
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
location / {
# header for HSTS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
root /usr/share/nginx/html;
}
}
Mit nur vier Einstellungen können Sie also einen Webserver konfigurieren, der die modernen SSL-Sicherheitsanforderungen erfüllt und bei SSL Labs mit A+ bewertet wird.
Fazit: Lernen Sie mehr zum Thema SSL-Sicherheit
Wie wir herausgefunden haben, ist es ohne großen Aufwand möglich, für SSL die Note A+ zu erhalten. Eine Note von A+ bringt konkrete Vorteile mit sich, wie z. B. ein besseres Suchmaschinen-Ranking. Es lohnt sich, einen SSL-Lab-Test durchzuführen, um eventuelle Sicherheitslücken festzustellen.
Erhöhen Sie Ihre SSL-Sicherheit noch heute mit einem SSL-Zertifikat über Gcore.
