March 8, 2026

TLS Konfiguration härten: Cipher Suites und OCSP Stapling

Eine sichere TLS-Konfiguration ist entscheidend, um Webanwendungen vor Angriffen wie Man-in-the-Middle, Protokoll-Schwachstellen und unsicheren Cipher Suites zu schützen. Moderne Browser und Sicherheitsrichtlinien verlangen die Verwendung starker Verschlüsselungsverfahren, Forward Secrecy und Mechanismen wie OCSP Stapling. In diesem Leitfaden erfahren IT-Einsteiger, Studierende und Junior Network Engineers praxisnah, wie TLS auf Webservern wie Nginx und Apache gehärtet wird.

Table of Contents

Grundlagen der TLS-Härtung

TLS (Transport Layer Security) schützt Datenübertragungen zwischen Client und Server. Eine gehärtete TLS-Konfiguration umfasst:

Auswahl sicherer Cipher Suites
Aktivierung moderner TLS-Versionen (TLS 1.2, TLS 1.3)
Deaktivierung unsicherer Protokolle (SSLv2, SSLv3, TLS 1.0/1.1)
Forward Secrecy für jede Session
OCSP Stapling zur schnellen Zertifikatsprüfung

Cipher Suites sicher konfigurieren

Nginx

In der Nginx-Konfiguration können Cipher Suites direkt gesetzt werden:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:...
';
ssl_prefer_server_ciphers on;

Hinweis: TLS 1.3 nutzt eigene Cipher Suites, daher werden diese automatisch priorisiert.

Apache

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
SSLHonorCipherOrder on

Mit dieser Konfiguration werden nur starke Verschlüsselungen akzeptiert, schwache Algorithmen ausgeschlossen und die Serverpriorität genutzt.

Forward Secrecy aktivieren

Forward Secrecy verhindert, dass ein kompromittierter Server-Schlüssel vergangene TLS-Sessions entschlüsseln kann. Dies wird durch Ephemeral Keys erreicht.

Nginx:
```
ssl_dhparam /etc/ssl/certs/dhparam.pem;
```

Apache:

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

OCSP Stapling konfigurieren

OCSP (Online Certificate Status Protocol) ermöglicht Clients, den Status eines Zertifikats zu überprüfen. Stapling reduziert Latenz und schützt vor OCSP-Man-in-the-Middle-Angriffen.

Nginx:

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

Apache:

SSLUseStapling on
SSLStaplingCache "shmcb:/var/run/ocsp(128000)"

Protokolle und Sicherheitsoptionen prüfen

Nur TLSv1.2 und TLSv1.3 aktivieren, alte Versionen deaktivieren

HSTS Header setzen:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Secure Cookies für HTTPS:

session.cookie_secure = On
session.cookie_httponly = On

Content Security Policy (CSP) ergänzen, um XSS zu verhindern

Testen der TLS-Konfiguration

SSL Labs

Ein externer Test zur Bewertung der TLS-Konfiguration:

https://www.ssllabs.com/ssltest/

CLI-Tools

openssl s_client:

openssl s_client -connect example.com:443 -tls1_2

nmap:

nmap --script ssl-enum-ciphers -p 443 example.com

Checkliste für sichere TLS-Implementierung

Nur TLSv1.2 und TLSv1.3 aktiv
Starke Cipher Suites konfiguriert
Forward Secrecy aktiv
OCSP Stapling aktiv und überprüft
HSTS Header gesetzt
Secure und HttpOnly Cookies
Regelmäßige externe Tests (SSL Labs, Mozilla Observatory)
Alte Protokolle und schwache Algorithmen deaktiviert
Monitoring von Zertifikatsablauf und OCSP-Status
Dokumentation der TLS-Standards und regelmäßige Updates

IPv4/IPv6 Netz und TLS

TLS-Konfiguration sollte auf beiden IP-Versionen getestet werden, da Clients über IPv4 oder IPv6 auf Webserver zugreifen können.

<math>
IPv4 Webserver = 203.0.113.10/24
IPv6 Webserver = 2001:db8::10/64
</math>

Zusammenfassung der Best Practices

Starke Verschlüsselung und sichere Cipher Suites
Nur aktuelle TLS-Versionen verwenden
Forward Secrecy für jede Session
OCSP Stapling zur Reduzierung von Latenz und Schutz vor MITM
HSTS aktivieren, Cookies absichern
Regelmäßige Tests und Monitoring
Dokumentation für Entwickler und Administratoren
Kontinuierliche Aktualisierung nach Security Advisories

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

Professionelle Konfiguration von Routern und Switches
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.