CWP – Zusätzliche SSL Optimierungen

Letztens habe ich euch gezeigt, wie Ihr ein SSL A+ Rating für euere Domain bekommt, und zwar HIER.
Dieses Mal zeige ich euch, wie ihr überall auf 100% kommt bei Qualy SSL.

Ein A+ Rating haben wir ja bereits, allerdings haben wir bei Key Exchange und Cipher Strenght dabei nur ca 90% erreicht. Damit wir jetzt wirklich überall auf 100% schaffen müssen wir ein paar kleinigkeiten im CWP ändern.



Bitte unterstützt meine Arbeit

Verbindet per SSH auf euren Server und macht ein Backup des acme Scripts, das ist das Script welches Auto SSL ausführt um eure Zertifikate auszustellen und zu erneuern.

cp /root/.acme.sh/acme.sh /root/.acme.sh/acme.sh.bak

Öffnet nun die acme.sh mit einem beliebigen Editor wie VIM oder NANO:

vim /root/.acme.sh/acme.sh

Nun sucht ihr in dieser Datei nach:

DEFAULT_ACCOUNT_KEY_LENGTH=2048
DEFAULT_DOMAIN_KEY_LENGTH=2048

und ersetzen 2048 mit 4096 und speichert die Datei.

Als Nächstes geht ihr in euer Admin Panel vom CWP und navigiert dort zu Server Settings>>Change Hostname

Ändert hier die Key Size von 2048 (Default) auf 4096 und hakt dort alle Optionen an.
Nachdem Ihr das gemacht habt stellt ihr alle SSL Zertifikate für eure Domain(s) neu aus, diesmal haben alle einen 4096 Bit Schlüssel.

Nun müsst Ihr zu Webservers Settings>>Webservers Conf Editor und dort eure nginx.conf sowie die SSL Configs euer Hostnames bearbeiten.

Öffnet dort die nginx.conf und sucht nach dem #SSL Block und ersetzt ihn mit folgendem Code:

# SSL Settings
	ssl_session_cache   shared:SSL:10m;
    ssl_ecdh_curve secp521r1:secp384r1;
	ssl_protocols TLSv1.2 TLSv1.3;
	ssl_prefer_server_ciphers on;
    ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS_AES_256_GCM_SHA384:TLS-AES-256-GCM-SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS-CHACHA20-POLY1305-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA;

Das Selbe müsst Ihr nun auch für all eure Domains machen im Abschnitt vhosts, hier müsst ihr jeweils die DOMAIN.ssl.conf Dateien bearbeiten.

Sucht dort nach den ssl Ciphern (kommen öfter in dieser Datei vor) und ersetzt auch wieder alles mit dem oberen Werten.

Wenn Ihr das gemacht habt, speichert eure Dateien und startet sowohl Apache als auch Nginx neu.

Macht danach noch den Test auf Qualy SSLLabs und ihr solltet jetzt auch überall auf 100% kommen.

Related posts

CWP – Roundcube auf Version 1.5.6 updaten

CWP – MariaDB auf eine neue Version updaten

Verbessern des Nachrichtenflusses mit MTA-STS

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Read More