← Zurück zum Blog
TLS & Zertifikate

Gute Standardeinstellungen reduzieren Angriffsfläche und Überraschungen bei Verlängerungen.

  1. Veraltete Protokolle deaktivieren
    Nur TLS 1.2+ (ideal TLS 1.3) anbieten; SSLv3/TLS 1.0/1.1 abschalten.
    Prüfen: curl -I --tlsv1.0 https://domain.tld muss fehlschlagen; zusätzlich extern (z. B. SSL Labs) prüfen.
  2. Moderne Cipher Suites und Vorwärtsgeheimnis (PFS)
    TLS-1.3-Standards bevorzugen; schwache/alte Suites entfernen; PFS sicherstellen.
    Prüfen: nmap --script ssl-enum-ciphers -p 443 domain.tld (kein RC4/3DES; TLS-1.3-Suites sichtbar).
  3. OCSP-Stapling + vollständige Zertifikatskette
    Komplette Kette in korrekter Reihenfolge ausliefern und Stapling aktivieren.
    Prüfen: openssl s_client -status -showcerts -connect domain.tld:443 | openssl x509 -noout -issuer -subject (Stapling-Status vorhanden; Kette vollständig).
  4. HSTS mit Preload (nach Tests)
    Header: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
    Prüfen: Header kontrollieren; hstspreload.org / securityheaders.com.
  5. Erneuerung automatisieren und Ablauf überwachen
    ACME (z. B. Let’s Encrypt) mit Auto-Renew; Monitoring/Alerts für Ablauf/Fehler.
    Prüfen: echo | openssl s_client -servername domain.tld -connect domain.tld:443 2>/dev/null | openssl x509 -noout -enddate