ISPconfig 3 - POODLE - SSLv3 deaktivieren

Heute wurde die SSLv3 Lücke names POODLE bekannt. Daher lohnt es sich ab sofort auf das veraltete SSLv3 zu verzichten und nur noch TLS zuzulassen.

Ob auf dem eigenen Server noch SSLv3 verfügbar ist, kann schnell über den Befehl curl -v3 -X HEAD https://beispieldomain.de, oder über die Webseite Free POODLE SSL Check herausgefunden werden.

Um das SSLv3 Protokoll für ISPconfig zu deaktivieren ist eine Anpassung in der Datei /etc/apache2/mods-available/ssl.conf nötig.

Die Zeile SSLProtocol all -SSLv2 muss in SSLProtocol +ALL -SSLv3 -SSLv2 geändert werden um SSLv3 zu deaktivieren.

Dabei bietet es sich an gleich die Zeile SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 in

SSLCipherSuite DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:AES256-SHA:AES128-SHA zu ändern.

SHA1 auf SHA256 umstellen

Aktuell werden (self-signed) Zertifikate unter ISPconfig 3.0.5.4p3 noch mit SHA1 erstellt. Till Brehm hat vor einigen Tagen einen SHA256 Patch bereit gestellt, der allerdings Stand heute noch nicht veröffentlicht wurde. Diese Änderungen kann man aber auch schnell per Hand einpflegen, für Apache liegt die Datei unter /usr/local/ispconfig/server/plugins-available/apache2_plugin.inc.php

Um die eigenen SSL Zertifikate zu testen, bietet sich in jedem Fall der Test von SSL Labs an.


14.10.2014 17:42