Es gibt viele Gründe warum an die eigene Website durch https etwas sicherer machen möchte. In der Vergangenheit stellten nennenswerte Extrakosten sowie komplizierte und langsame Beantragungsprozesse eine Hürde dar. letsencrypt.org löst diese Probleme und verspricht kostenlose SSL Verschlüsselung für jedermann. Nachdem der LetsEncrypt Client installiert ist, genügt ein einziger Konsolenbefehl um ein gültiges Domain-Zertifikat anzufordern:
Installation von LetsEncrypt
git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt ./letsencrypt-auto certonly --webroot -w /var/www/project -d domain.de -d www.domain.de
Diese Kommando legt alle Bestandteile, die für eine https Konfiguration nötig sind, unter /etc/letsencrypt/live ab.
Konfiguration in Nginx
Anschließen muss SSL in Nginx aktiviert werden:
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/helloworld.letsencrypt.org/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/helloworld.letsencrypt.org/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/helloworld.letsencrypt.org/fullchain.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
# Generate with:
# openssl dhparam -out /etc/nginx/dhparam.pem 2048
ssl_dhparam /etc/nginx/dhparam.pem;
# What Mozilla calls "Intermediate configuration"
# Copied from https://mozilla.github.io/server-side-tls/ssl-config-generator/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
# If you want to specify a DNS resolver for stapling, you can uncomment the below
# line. If you leave it commented, nginx will use your system resolver, which will probably
# work just fine!
# resolver <IP DNS resolver>;
Dieser Schnipsel kann direkt in eure bestehen vHost Konfig eingefügt werden. Anschließend ist ein Neustart von Nginx nötig um die Änderungen zu übernehmen.
Einen kleinen Nachteil hat die ganz Geschichte leider: das Zertifikat ist nur 90 Tage gültig. Wenn diese Gültigkeit abgelaufen ist muss erneut ./letsencrypt …. ausgeführt werden.
