Ich habe mein Blog auf HTTPS mit einem Lets Encrypt Zertifikat umgestellt.
Falls Ihr mit den RSS Feeds Probleme beim Abholen bekommt, meldet Euch bitte.
Wie man das macht : )
Als erstes bestellen wir mal das Zertifikat :
/etc/httpd/letsencrypt/letsencrypt.sh -c -d marius.bloggt-in-braunschweig.de -d www.marius.bloggt-in-braunschweig.de
Obiges geht natürlich nur, wenn Ihr den Bash Clienten von Lets Encrypt auch dort instaliert habt.
Dann legen wir im Apache eine HTTPS Site an, z.B. hier : /etc/httpd/sites/1_marius.bloggt-in-braunschweig.de
<VirtualHost *:443>
SSLProxyEngine On
ServerName marius.bloggt-in-braunschweig.de
ServerAlias *.marius.bloggt-in-braunschweig.de
... Sachen die Euch nichts angehen :) ...
Header always set Strict-Transport-Security "max-age=31556926 includeSubDomains" env=HTTPS
SSLEngine on
SSLInsecureRenegotiation off
SSLProtocol TLSv1.2
SSLHonorCipherOrder on
SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:HIGH:!MD5:!aNULL:!EDH:!RC4:!RC4
SSLCertificateKeyFile /etc/httpd/letsencrypt/certs/marius.bloggt-in-braunschweig.de/privkey.pem
SSLCertificateFile /etc/httpd/letsencrypt/certs/marius.bloggt-in-braunschweig.de/cert.pem
SSLCACertificateFile /etc/httpd/letsencrypt/certs/marius.bloggt-in-braunschweig.de/chain.pem
</VirtualHost>Und dann muß man seiner Site noch sagen, daß sie alle HTTP Zugriffe auf HTTPS umleiten soll, bevor diese stattfinden.
RewriteCond %{HTTP_HOST} ^www.marius.bloggt-in-braunschweig.de
RewriteRule (.*) https://marius.bloggt-in-braunschweig.de/$1 [R=301,L]
RewriteCond %{HTTP_HOST} .*marius\.bloggt-in-braunschweig\.de
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [L]Das meint, daß wer WWW. aufruf, auf den Hauptdomainnamen umgeleitet wird. (Am.d.R. www. braucht kein Mensch mehr)
Die zweite Anweisung leitet alles was nicht auf Port 443 ankommt, auf Port 443 um, so daß es verschlüsselt wird.
Das wars.
Jetzt bleibt nur die Frage zu klären: „Wieso hast Du auf https umgestellt, wo BIB.de doch ohnehin schon ein LE Zertifikat hatte ?“
Na weil das bei Subdomain nicht anders geht, da LE keine Wildcardzerts ausstellt und 100 Einträge im Hauptzertifikat sind auch irgendwann zu ende.
Wenn du jetzt noch HSTS einfügst bekommst du auch ein A+ rating. 😀
Das war ein netter Nebeneffekt meiner gestrigen Änderungen ( https://blog.mdosch.de/2016/08/26/mein-blog-und-der-datenschutz/ )
Schon drin 🙂
root@s120 tmp]# curl -I https://marius.bloggt-in-braunschweig.de
HTTP/1.1 200 OK
Date: Sat, 27 Aug 2016 11:55:18 GMT
Server: Apache/2.4.18 (Fedora) OpenSSL/1.0.1k-fips
X-Powered-By: PHP/5.6.23
Link: ; rel=“https://api.w.org/“, ; rel=shortlink
Strict-Transport-Security: max-age=31556926; includeSubDomains
X-Mod-Pagespeed: 1.11.33.2-0
Cache-Control: max-age=0, no-cache
Content-Type: text/html; charset=UTF-8
Wer sich für den Test interessiert :
https://www.ssllabs.com/ssltest/analyze.html?d=marius.bloggt-in-braunschweig.de
Seltsam, SSL Labs hat es nicht angezeigt :-/
Wegen eines kleinen Fehler in einem Tutorial anderer Leute 🙂
Ist behoben, macht jetzt A+ 😉