In den letzten Tagen habe ich hinter den Kulissen dieses Blogs einige Umbauten vorgenommen. Die bestehende Installation wurde auf einen neuen Server migriert und läuft jetzt mit nginx und einem deutlich aktuelleren Setup.
Zusätzlich habe ich die SSL-Konfiguration angepasst und einiges an Feintuning betrieben. Im Mozilla Observatory-Test kommt die Seite jetzt auf ein moderates B (der Weg zum A scheitert an den derzeit noch fehlenden Content Security Policies), im Test von SSL Labs erreicht der Server ein A+. Im gleichen Atemzug setze ich jetzt auch auf ein Zertifikat von Let’s Encrypt.
Auf meinem persönlichen Wunschzettel stehen noch DNSSEC mit TLSA sowie HPKP. Beides funktioniert in der Theorie schon, muss sich aber noch im Praxistest beweisen.
Weitere Details gibt’s demnächst in eigenen Artikeln, meine Serverkonfiguration wollte ich ja ohnehin schon länger veröffentlichen…
Immer wenn ich lese, wie jemand völlig lessig erwähnt, was er so alles gemacht hat beim server und ich nicht mal weiß, was das jeweils ist, bin ich wieder demotiviert, mich mit dem Thema Server zu befassen. :-)
Ich hab da auch ne ganze Weile dran gearbeitet, von daher – nicht demotivieren lassen, dem Mutigen gehört die Welt! ;-)
Und dann habe ich so einen offenen Server, den jemand dann missbraucht … Das klingt alles ziemlich wissensintensiv und ich war nur auf einer normalen Städtischen Schule in NRW.
Vorsicht ist durchaus geboten, das ist klar – zu blauäugig rangehen ist keine gute Idee. ;-) Lokal, z.B. in einer VM testen ist aber immer eine Option.
Aber dadurch weiß man ja immer noch nicht, ob man etwas Wichtiges, Sicherheitsrelevantes übersehen hat. Mir geht es weniger darum, beim aufsetzten den Server zu schrotten und wieder anfangen zu müssen. Das ist ja nicht so tragisch, wenn der noch keine wichtigen Daten enthält. Ich will nur nicht Teil eines Bot-Netzes sein oder meine privaten Daten öffentlicher bereitstellen als es bei Facebook z. B. der Fall wäre.
Die SSL Server Tests kann man übrigens auch mit Freier Software testen… ;-)
https://ssldecoder.org/?host=blog.effenberger.org:78.47.92.189&port=443&fastcheck=0
https://ssldecoder.org/?host=blog.effenberger.org:%5B2a01:4f8:c17:2c70::2]&port=443&fastcheck=0
Code:
https://github.com/RaymiiOrg/ssl-decoder