Tipps zur SSL/TLS-Konfiguration

Kategorie: SSL
Erstellt: 06.07.2022

TLS 1.0/1.1

Die Protokolle TLS 1.0 und TLS 1.1 gelten inzwischen nicht mehr als vollständig sicher. Während viele (alte) E-Mail-Programme diese Protokolle noch benötigen, kann man diese beim Webserver (Apache/NGINX) normalerweise bedenkenlos deaktivieren.

Bei neu angelegten IP-Gruppen (Serververwaltung -> Web) ist TLS 1.0/1.1 automatisch deaktiviert. Über die IP-Gruppen-Einstellungen können Sie das auch nachträglich für bestehende Gruppen deaktivieren.

LiveConfig unterstützt prinzipiell auch die Möglichkeit, TLS 1.0/1.1 nur für einzelne IP-Gruppen zu deaktivieren. Bei NGINX klappt das (unseres Wissens) immer, bei Apache setzt das mindestens LiveConfig 2.14.3 und mindestens Apache 2.4.42 voraus (Apache Bug 55707).

Wichtig: TLS 1.0/1.1 funktioniert nur mit TLS-Zertifikaten mit RSA-Schlüsseln! Zertifikate mit ECDSA-Schlüsseln benötigen mindestens TLS 1.2!