HowTo: Absicherung einer Webseite mit HTTPS unter Plesk

Beschreibung/HowTo

Warum Webseiten mit HTTPS absichern?

Der Hauptgrund ist perspektivisch die bessere Bewertung einer per HTTPS abgesicherten Webseite als einer ohne HTTPS. Sicher gibt es auch Stimmen, die die Sinnhaftigkeit einer normalen nicht interaktiven Webseite, also einer die keine Benutzereingaben erfordert, bezweifeln. Auch das Argument einer Geschwindigkeitseinbuße am Nutzer-PC, weil dieser die Seite erst entschlüsseln muss ist nicht von der hand zu weisen. Jedoch wiegt aus unserer Sicht die Sicherheit, dass kein Dritter (MenInTheMiddle) die Inhalte der Webseite geändert haben kann, für den Benutzer höher auf einer Webseite welche die Authentizität der Inhalte durch starke Verschlüsselung gewährleistet.

Wie kann man bei Plesk (Version 12) den Server absichern?

Zunächst sollte man seine Webseite mal überprüfen wie sicher sie ist. Dafür ist die Webseite https://www.ssllabs.com/ssltest/ sehr hilfreich. Hier kann man dann Schritt für Schritt die Probleme eingrenzen und fixen.

Ziel ist es, die aktuelle Verbindungs-Verschlüsselung SHA-256, oder auch SHA-2 genannt und eine 2048bit DH-Gruppe zu erreichen, sowie veraltete SSL-Verschlüsselung (SSLv1, SSLv2, SSLv3) zu deaktivieren, da diese nicht mehr sicher ist.

Dazu muss in den Konfigurationsdateien vom apache und nginx Einträge geändert und hinzugefügt werden. Die ist sehr gut hier beschrieben für die einzelnen Plesk-Versionen.
http://kb.odin.com/de/123160

Plesk sollte natürlich immer auf dem aktuellen Stand sein. Zusätzlich kann man in der Shell prüfen, ob es zu aktualisierende Pakete gibt. Zu nennen wären besonders apache, nginx, openssl. Unter Debian und CentOS nimmt man dafür den Befehl:

# yum update

...und folgt dem Dialog.

Plesk stellt aktuell nur den apache-Server in Version 2.2.15 bereit. Version lässt sich mit hiermit prüfen.
# apachectl -V
Einige Funktionen, wie z.B. DH-2048Bit (PFS) sind hier nur umständlich zu konfigurieren und besser mit dem von Plesk mitgelieferten Nginx-Webserver abzubilden. dazu muss die nginx.conf (/etc/nginx/nginx.conf) bearbeitet und ein 2048Bit Diffie Hellman Parameter-datei (# openssl dhparam -out dhparams.pem 2048) erzeugt werden.
Eine gute Beschreibung ist hier zu finden.
http://nethack.ch/2014/03/23/increase-ssltls-security-nginx-apache-enabling-pfs-hsts/
Und überprüfen lässt es sich hiermit.
https://weakdh.org/sysadmin.html

Wenn man dann alles schön abgesichert hat, sollte man noch mal jede Unterseite überprüfen, besonders das die Links auf den Seiten eine https-URL aufweisen, da sonst gemischter Inhalt im Adressfenster signalisiert wird, was möglicherweise auch von Google nicht unbewertet gelassen werden dürfte. Bei internen Links kann man einfach den URL-Teil http:// in https:// ändern. Externe Links kann man versuchen manuell anzupassen, zu entfernen oder den Betreiber zu kontaktieren, ob es möglich wäre einen HTTPS-Link bereitzustellen.

Quellen s. weiter unten

---

 Stand: 09/2015

Diese Tipps dienen als knowledgebase zur internen Nutzung. Es steht natürlich jedem frei, dieses Wissen auf eigene Gefahr anzuwenden. Wir empfehlen, den Rat Ihres Netzwerk-Administrators einzuholen, oder uns mit der Lösung Ihres Problems zu beauftragen. Verwendete Markennamen und Warenzeichen sind Namen/Eigentum der jeweiligen Firmen/Hersteller.