3 Antworten in diesem Thema

[Mr_NiceGuy]

Ahoi!

 

Heute zeige ich euch fix, wie man ein Gratis SSL Zertifikat instlliert und den kompletten WebTraffic auf HTTPS umeitet.

 

Schritt 1 LetsEncrypt installieren:

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto

Schritt 2 Zertifikat abholen:

./letsencrypt-auto certonly --rsa-key-size 4096 -d thomas-leister.de -d www.thomas-leister.de

Hier tragt ihr natürlich euere Domain ein!

 

 

Schritt 3 Zertifikat in die Config einbinden:

 

Nginx

server {

listen   443;

ssl    on;
SSLCertificateFile /etc/letsencrypt/live/thomas-leister.de/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/thomas-leister.de/privkey.pem

server_name your.domain.com;
access_log /var/log/nginx/nginx.vhost.access.log;
error_log /var/log/nginx/nginx.vhost.error.log;
location / {
root   /home/www/public_html/your.domain.com/public/;
index  index.html;
}

} 

Apache

<VirtualHost *:443>
DocumentRoot /var/www
ServerName localhost
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/thomas-leister.de/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/thomas-leister.de/privkey.pem
</VirtualHost>

Schritt 4 Traffic Umleiten (Nur wenn gewünscht)

 

Nginx hier einfach unter der Port 80 Config ein Return hinzufügen

server {
       listen         80;
       server_name    my.domain.com;
       return         301 https://$server_name$request_uri;
}

Apache

<virtualhost vhost.domain.com="">
ServerName vhost.domain.com
DocumentRoot /var/www/website1
    <ifmodule mod_rewrite.c="">
      RewriteEngine On
      RewriteCond %{HTTPS} off
      RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
    </ifmodule>
</virtualhost>

Jetzt müsst ihr nur den jeweiligen Service neustarten und schwupdiewup ihr habt https auf euern Webserver for free

 

Wenn ihr fragen habt, schreibt mir eine PM

[r3vO]

Nice, war glaube ich vor ein paar Tagen/ Monaten auch in der CT!

[Mr_NiceGuy]

Kann gut sein, auf der Arbeit habe ich alle unsere Webseiten mit LetsEncrypt ausgerüstet, weil unser Chef zu geizig war.
Läuft super was ich noch sagen muss die Certs halten nur 90 Tage, danach müsse sie erneuert werden!

[R3s1stanc3]

Nginx

server {

listen   443;

ssl    on;
SSLCertificateFile /etc/letsencrypt/live/thomas-leister.de/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/thomas-leister.de/privkey.pem

server_name your.domain.com;
access_log /var/log/nginx/nginx.vhost.access.log;
error_log /var/log/nginx/nginx.vhost.error.log;
location / {
root   /home/www/public_html/your.domain.com/public/;
index  index.html;
}

} 

 

Bei nginx heißen die entsprechenden config parameter nicht SSLCertificateFile und SSLCertificateKeyFile, sondern ssl_certificate und ssl_certificate_key.

Außerdem ist SSL nicht gleich SSL. Es fehlen noch cipher preferences, forward secrecy, hpkp, ocsp stapling, du musst die TLS protokolle einschränken, usw.

Auch ein signiertes SSL cert bringt nichts, wenn man über downgrade attacken einfach auf rc4 switchen kann.

Kannst ja mal die config genau so laufen lassen und den ssltest (

Please Login HERE or Register HERE to see this link!

) drüber laufen lassen.

Eine saubere ssl config könnte dann so aussehen:

Please Login HERE or Register HERE to see this link!

das was du beschreibst, reicht dafür aber nicht aus.