Die IT-Sicherheitsbranche bleibt nicht stehen, deswegen gibt es hier mal wieder einen Aktualisierung/Ergänzung zu meinem Artikel über sichere Webserver-Konfiguration.
Wo ich früher eigentlich ausschließlich SSLlabs zum Testen meiner Webserver Konfiguration eingesetzt habe steht bei mir mittlerweile eine Kombination aus diversen Tools im Vordergrund.
Im Einsatz habe ich mittlerweile eine Kombination aus
Empfehlen kann ich außerdem die Hinweise von cipherli.st und den SSL Guide von Mozilla. Wie weit ihr das Spiel der Webserverhärtung betreibt ist natürlich jedem selbst überlassen, ich persönlich habe für mich mittlerweile als Standard definiert:
- TLS1.2 only
- Cookies secure only
- HSTS enabled
- Automatic Redirect from http to HTTPS
- X-XSS-Protection
- X-Frame-Options
- X-Content-Type-Options
- Referrer Policy
- Optional HPKP
- Optional CSP
- DNS CAA Record
Ob man HPKP implementiert, gerade jetzt wo Google den HPKP Support für Chrome wieder streichen möchte ist zugegebenermaßen Geschmackssache, der Rest definiert für mich aber eine Art Mindeststandard.