SSL-Tipps für Betreiber - 5 schnelle Checks

Gute Standardeinstellungen reduzieren Angriffsfläche und Überraschungen bei Verlängerungen.

1. Veraltete Protokolle deaktivieren
   Nur TLS 1.2+ (ideal TLS 1.3) anbieten; SSLv3/TLS 1.0/1.1 abschalten.
   Prüfen: curl -I --tlsv1.0 https://domain.tld muss fehlschlagen; zusätzlich extern (z. B. SSL Labs) prüfen.
2. Moderne Cipher Suites und Vorwärtsgeheimnis (PFS)
   TLS-1.3-Standards bevorzugen; schwache/alte Suites entfernen; PFS sicherstellen.
   Prüfen: nmap --script ssl-enum-ciphers -p 443 domain.tld (kein RC4/3DES; TLS-1.3-Suites sichtbar).
3. OCSP-Stapling + vollständige Zertifikatskette
   Komplette Kette in korrekter Reihenfolge ausliefern und Stapling aktivieren.
   Prüfen: openssl s_client -status -showcerts -connect domain.tld:443 | openssl x509 -noout -issuer -subject (Stapling-Status vorhanden; Kette vollständig).
4. HSTS mit Preload (nach Tests)
   Header: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
   Prüfen: Header kontrollieren; hstspreload.org / securityheaders.com.
5. Erneuerung automatisieren und Ablauf überwachen
   ACME (z. B. Let’s Encrypt) mit Auto-Renew; Monitoring/Alerts für Ablauf/Fehler.
   Prüfen: echo | openssl s_client -servername domain.tld -connect domain.tld:443 2>/dev/null | openssl x509 -noout -enddate