In der vergangenen Woche haben wir ein Webserver-Update durchgeführt, das nicht nur Performanceverbesserungen, eine bessere Speichernutzung und neue vereinheitlichte Konfigurationsmöglichkeiten, sondern insbesondere auch Verbesserungen der Webserversicherheit mit sich bringt.
Inhaltsverzeichnis
Verbesserung der Sicherheit
In Kombination mit unseren neuen SSL-Zertifkaten, die wir im Dezember eingeführt haben, können die Webseiten nun einem sehr hohen Sicherheitsstandard entsprechen, die mit einem „A“ im Qualys SSL Server Test auf www.ssllabs.com gewertet werden, da die Apache-Webserver nun Perfect Forward Secrecy (PFS) unterstützen.
Durch die Aktivierung von HTTP Strict Transport Security (HSTS) kann sogar ein A+ erreicht werden. Hierfür genügt folgende Anweisung via .htaccess-Datei:
Header always set Strict-Transport-Security max-age=31536000
Außnahme ist hierbei die Verwendung von Fast-CGI, weil das Apache-Modul mod_headers den Wert nicht korrekt ausgibt.
Das Ergebnis des Qualys SSL Server Tests sieht dann wie folgt aus:
Zahlreiche weitere Verbesserungen
Auch ergibt sich durch die neue Version ein allgemeiner Gewinn an Leistungsfähigkeit, so dass in vielen Fällen Web-Anwendungen noch schneller als bisher ausgeliefert werden können. Welche Änderungen sich genau durch das Update ergeben haben, kann auf der Webseite von Apache nachgelesen werden: apache.org – Upgrading to 2.4 from 2.2
Skriptfehler 500 durch das Update
Leider kam es durch das Update vermehrt zu Skriptfehlern 500. Wir haben in unserem Blog hier die häufigsten Ursachen zusammengestellt:
Skriptfehler 500 durch das heutige Softwareupdate, die häufigsten Ursachen
Auch in unserem Forum sind in diesem Beitrag Hilfe und Tipps zu finden.
Sollten Sie aktuell noch Probleme auf Ihrer Webseite feststellen oder sonstige Fragen bezüglich der neuen Webserver-Version haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Sie erreichen unsere Technikabteilung unter dem Menüpunkt „Kundenservice“ in Ihrem Kundenmenü.
Klasse, dass auf das Feedback der Kunden reagiert wurde.
Ein kleiner Tippfehler hat sich noch eingeschlichen: Es müsste HSTS heißen.
Stimmt, danke schön für den Hinweis – ist verbessert!
Hi, es wäre doch sehr schön, wenn der DF Kunden-Login auch bereits den A Rating hätte?
Unsere Techniker kümmern sich aktuell bereits darum. Das wird allerdings noch etwas dauern, da die Umstellung auf diesem Server nicht so einfach ist und es einiger Vorbereitungen bedarf.
Habe das eben bei einem auf Ruby basierendem Projekt versucht, dort klappt es leider nicht, es kommt ein Fehler 500, wenn man die Zeile „Header always set Strict-Transport-Security max-age=31536000“ in eine .htaccess einträgt.
Hallo Sepp! Das würde sich unsere Technik gerne direkt ansehen. Könnten Sie daher kurz über „Kundenservice“ im Kundenmenü eine Mail an die Technik schicken?
Hallo Anna, habe ich eben gemacht Ticket #4950483 🙂
Viele Grüße
Sepp
Perfekt, danke! 🙂
Es scheint mit dem zusätzlichen Webserver für RoR zusammen zu hängen, weswegen es nicht funktioniert. Die Technik such hier nach Lösungen. Ich habe Strict-Transport-Security jetzt erst mal wieder deaktiviert, damit ich mit dem Projekt wieder arbeiten kann. Ist ja auch kein mega wichtiges Feature.
Grüße,
Sepp
Super, dass mit dem Apache-Update auch das TLS-Thema abgearbeitet wurde!
Hallo Frau Philipp, der Link ganz oben, der zum Blog-Beitrag mit den neuen SSL-Zertifikaten führt, führt ironischerweise zu einer nicht SSL-geschützten Seite. 😉 Sie haben nämlich „blog.df.eu/blog“ anstatt „www.df.eu/blog“ verlinkt.
Guten Tag,
Welche SSL Technik wird beim Apache Server verwendet ? Open SSL oder Apache SSL ?