Hallo zusammen,

wer von Euch hat sich schon intensiver mit Web-Servern und SSL (https) beschäftigt?

Habe einen eigenen root-Server (CentOS) mit einem Webserver (nginx) am laufen und soweit funktioniert alles wie geplant.

Nur beim Thema HPKP (public key pinning) bin ich etwas skeptisch, da ja die "Let's Encrypt"-Zertifikate alle 3 Monate aktualisiert werden müssen.

Habe dazu auch schon einige gute Artikel gefunden, u.a. diese hier:







Aber mich würde halt der Erfahrungsaustausch diesbezüglich interessieren, falls es hier andere User gibt, die sich ebenfalls mit dem Thema beschäftigen.

Gruß,
Marcel

PS: Vielleicht noch kurz zum Hintergrund - mich nervten (bzw. nerven auch immer noch) die sehr starken Einschränkungen bezüglich der Konfigurationsmöglichkeiten bei meinem Haus- & Hof-Provider (Host Europe). Deshalb habe ich bei einem Mitbewerber einen virtuellen root-Server gemietet (NetCup), bei dem ich für überschaubare monatliche Kosten so ziemlich alles einstellen kann, wie ich es möchte (eben dank der root-Rechte und einem eigenen OS nach Wahl).

Plesk installiert? Da gibt's eine Erweiterung für Let's Encript.
Hab das schon bei ein paar Domains installiert.
Die 3 Monate sind allerdings noch nicht rum...

Marcel_75@work

Hallo, in erster Linie finde ich lets Encrypt verdammt praktisch. Da ich auf meinen Servern damit recht unproblematisch die Zertifikate - zumindest für Webspace zur Verfügung stellen kann. Das automatische Update funktioniert gut, ich bin seit der Open Beta dabei.

Die Grundanforderung ist damit für mich erfüllt.

Meiner Meinung nach wird da noch einiges an Entwicklung kommen. - ssl pinning ist ja nur ein Aspekt.

Insgesamt würde ich das im Vergleich zu anderen günstigen Anbietern (wosign und startssl) ehr entspannt sehen. Die grundsicherheit ist erstmal gegeben.

Ch

HumpelDumpel: Nein, nutze weder Plesk noch Froxlor. NetCup bietet Froxlor an (und ja, ich kenne auch Plesk), aber ich mache wirklich alles per SSH auf Terminal-Ebene.

Nur so kann ich einigermaßen nachvollziehen, was da "unter der Habe abgeht". Ist zwar aufwendiger, aber man lernt dabei auch eine ganze Menge. Vor allem auch aus Fehlern …

Der Zugang zum Server per SSH ist ausschließlich mit einem key möglich (BruteForce-Attacken laufen also ins Leere), außerdem sperrt fail2ban zuverlässig nach 5 fehlgeschlagenen Anmeldeversuchen die IP.

Von ursprünglich mehr als 10.000 "Einwahlversuchen" pro Tag ging das nach einigen Wochen auf weniger als 100 pro Tag zurück, kann fail2ban also nur empfehlen (weiß nicht, ob man das auch per Plesk/Froxlor einrichten kann):

Die Erneuerung der "Let's Enycrypt"-Zertifikate per Terminal ist übrigens auch kein Hexenwerk, ist letztlich ein Einzeiler.

CH: Naja, mir geht es dabei ja auch eher um das "testen, was geht".

Mein Server hat aktuell beim "SSL Labs"-check ein glattes A+, beim "SecurityHeaders"-check kommt er jedoch nur auf ein A (ein A+ gäbe es, wenn auch HPKP aktiviert wäre). DANE wäre dann auch noch schön, aber ich glaube, das unterstützt NetCup bisher nicht (gibt leider bisher nur sehr wenige Hoster, die da mitmischen).

SSL Labs:

SecurityHeaders:

Aktuell schätze ich die Situation so ein, dass ich mir erst einmal noch eine weitere Domain sichern werde, die nicht weiter wichtig ist - falls da dann mit HPKP (oder auch DANE) etwas schief läuft, wäre das nicht weiter dramatisch.

Auf dem neuen, sehr gut abgesicherten Server, soll letztlich Munki, Reposado und noch einiges mehr laufen, um Macs besser verwalten zu können. Aber eben ausschließlich mit SSL und Zertifikats-basierter Authentifizierung. Deshalb dieses "Projekt".

Das habe ich gleich auf 2 runtergestellt und die Bannzeit auf 1 Monat. Und ja: Fail2Ban geht neuerdings auch über Plesk - aber ich hatte es schon vorher installiert.