Browser – HSTS Cache löschen

HSTS (HTTP Strict Transport Security) ist ein zusätzlicher Schutz für HTTPS-Verbindungen. Dabei wird dem Browser ein HTTP Response Header Strict-Transport-Security vom Server gesendet. Dies veranlasst den Browser zukünftig bzw. für die im Header definierte Zeit, nur noch verschlüsselte Verbindungen zu dieser Domain aufzubauen. Weitere Informationen zu diesem Thema gibt es z.B. auf der Seite von Wikipedia.

Ist diese Header einmal an den Browser gesendet ist der Zugriff ohne Verschlüsselung auf diese URL nicht mehr ohne Weiteres mit diesem Browser möglich. Soll die Kommunikation wieder unverschlüssel erfolgen müssen zuerst die Einstellungen am Webserver geändert werden und das Senden der Strict-Transport-Security Header verhindert werden. Anschliessen muss im Browser der HSTS-Cache entfernt werden.

Ob der Strict-Transport-Security Header noch gesendet wird kann man z.B. mit cURL prüfen.

In diesem Beispiel ist der Header noch aktiv.

In diesem Artikel wird beschrieben wie man den HSTS Cache in den verschiedenen Browsern löscht.

Firefox – HSTS Cache löschen

HSTS Cache Firefox
HSTS Cache Firefox

Die HSTS Informationen der Domains liegen beim Browser Firefox im Profil-Ordner.

Dazu geben wir im Firefox in der Adressleiste about:support ein. Anschliessend kann der Profilordner durch ein Klick auf Profilordner anzeigen geöffnet werden. Dort befindet sich eine Textdatei mit dem Namen SiteSecurityServiceState.txt.

Nun muss sichergestellt werden, das Firefox vollständig beendet wurde. Danach können wir die Datei mit einen Texteditor bearbeiten und die entsprechende Zeile löschen. „Browser – HSTS Cache löschen“ weiterlesen

Plesk – SSL redirect, HTTPS für Domain erzwingen und www entfernen

Das Plesk Panel bietet in den Hosting-Einstellungen der Domain die Möglichkeit unter dem Punkt bevorzugte Domain die Anfragen gezielt auf www.domain.tld oder domail.tld umzuleiten.

Leider fehlt diese Möglichkeit für die Verwendung von SSL also dem Aufruf für https://domain.tld statt http://domain.tld. Ein Aufruf für https://domain.tld ist zwar möglich aber es erfolgt kein Zwangs-Redirect auf eine SSL-Verbindung, also die Umleitung auf https://domain.tld.

Versuche dieses Verhalten mit einer .htaccess umzusetzen schlagen leider aufgrund der Konfiguration des vHostes fehl. Wie wir dennoch eine Umleitung auf https://domain.tld erreichen können zeigt dieses Tutorial.

Plesk www oder nicht www

www oder nicht www
www oder nicht www

Diese Einstellungen wird in den Hosting-Einstellungen der betreffenden Domain vorgenommen.

Wir haben dort 3 Möglichkeiten der Umleitung, mit www, ohne www oder keine. Je nach Auswahl erfolgt ein Redirect oder die Umleitung bleibt ganz aus und die Domain ist unter beiden URLs erreichbar.

Letzteres ist eher nicht zu empfehlen, da der Seiteninhalt dann doppelt verfügbar ist und Suchmaschinen dies eventuell nachteilig bewerten.

Nachdem wir die Einstellung getroffen haben können wir dies schonmal testen.

Anschliessen hinterlegen wir in diesem Menuepunkt auch gleich noch das passende SSL-Zertifikat und prüfen ob die Webseite auch unter https:// erreichbar ist.

Falls noch kein valides Zertifikat vorhanden ist kann dies, wie in dem Artikel WoSign – kostenlose SSL Zertifikate beschrieben, kostenfrei beantragt werden. „Plesk – SSL redirect, HTTPS für Domain erzwingen und www entfernen“ weiterlesen

WoSign – kostenlose SSL Zertifikate für 2 Jahre

WoSign bietet kostenlose SSL-Zertifikate für 2 Jahre an. Dies erweist sich als gute Alternative für die kostenlosen Zertifikate der Firma StartSSL. Diese Zertifikate waren auf 1 Jahr und einen nicht kommerziellen Einsatz limitiert.

WoSign ist ein chinesischer Anbieter, aber keine Angst, dies hat keinen Einfluss auf die Verschlüsselung :D! Die WoSign Zwischenzertifiakte sind mittlerweile auch SHA256 signiert und somit mit allen modernen Browsern kompatibel.

CSR und KEY erstellen

Prinziepell ist es möglich den CSR (Certificate Signing Request) und den Key auf der Webseite generieren zu lassen. Davon rate ich aber dringent ab. Der Privat Key heist nicht umsonst so und sollte nur dem Besitzer selbst bekannt sein.

Die benötigten Dateien erstellen wir auf der Konsole wie folgt:

Anschliessend erscheint folgender Dialog:

Der „Common Name“ ist der Name der Domain auf die das Zertifikat ausgestellt werden soll. Daher ist besonders darauf achten, dass dort die richtigen angaben gemacht werden. „WoSign – kostenlose SSL Zertifikate für 2 Jahre“ weiterlesen

NGINX – sichere SSL/TLS Konfiguration mit Perfect Forward Secrecy (PFS) und A+ Wertung von Qualys SSL Labs

nginx-a+-ssllabs
Qualys SSL Labs A+ Bewertung

In diesem Artikel wird die Konfiguration von SSL/TLS von NGINX beschreiben. Voraussetzung ist eine lauffähige aktuelle NGINX-Installation. Eine Anleitung wie das unter CentOS 7 funktioniert findet man in dem Artikel CentOS 7 – NGINX aus dem NGINX-Repository installieren.

Weiterhin benötigten wir ein gültiges Zertifikat, dazu gehören der Key, das Zertifikat und eventuell ein CA-Bundle.

Konfiguration NGNIX mit SSL/TLS

Dazu erweitern wit unsere Konfiguration um einen weiteren vHost der auf Port 443 lauscht. Für diesen aktivieren wir ssl und optional spdy.

Weitere Infos zu spdy findet man auf der Projektseite von spdy. Es spricht eigentlich nichts dagegen sdpy zu verwenden. In wie weit sich dies in irgend einer Form auf das Ranking der Webseite auswirkt kann ich nicht sagen.

Die Pfade zu den Parametern ssl_certificate und ssl_certificate_key müssen natürlich passen.

NGINX CA-Chain einrichten

Falls noch ein CA_Bundle vorliegt muss dies noch in die Datei vom ssl_certificate eingefügt werden. Den Parameter SSLCACertificateFile wie bei Apaches httpd gibt es unter NGINX nicht.

„NGINX – sichere SSL/TLS Konfiguration mit Perfect Forward Secrecy (PFS) und A+ Wertung von Qualys SSL Labs“ weiterlesen

Plesk – Ändern der SSL-Zertifiakte für SMTP, IMAP und POP3

Bei der Installation von Plesk wird ein Default-Zertifikat für alle E-Maildienste automatisch erstellt. Dies ist meist auf den Hostnamen, den Plesk bei der Installation automatisch ermittelt hat, ausgestellt. Dieses Zertifikat ist zudem selbstsigniert und die E-Mail-Clients zeigen demzufolge die entsprechenden Warnungen an.

Oft liegt bereits ein valides Zertifikat vor. Wie dies nun in die verschieden Dienste aufgenommen wird soll dieser Artikel zeigen.

Vorbereiten des SSL-Zertifikates für Plesk

Zuerst müssen wir uns eine Zertifikats-Datei (z.b. zertifikat.pem) erstellen. In dieses pem-File kopieren wir unseren  Zertifikatsschlüssel unseren privaten Schlüssel und falls nötig  noch das CACert (Intermediate) der Zertifizierungsstelle.

Die zertifikat.pem Datei sollte dann folgenden Inhalt haben:

Nun ersetzen wir je nach installieren Programm die Default-Zertifikat-Dateien durch unsere zertifikat.pem.

Je nach installieren Programm befinden Sie diese Dateien an einem anderen Ort.

Plesk – MTA – SSL-Zertifikate für Postfix oder Qmail

„Plesk – Ändern der SSL-Zertifiakte für SMTP, IMAP und POP3“ weiterlesen