====== Optional: HTTPS Zertifikat & Freigabe im Internet ======

^ **:!: ACHTUNG: INFORMATIONEN OHNE GEWÄHR. ** ^
| Die Firma untermStrich software gmbh übernimmt keine Haftung für etwaige Schäden oder Fehler die direkt oder indirekt durch die Benutzung oder nicht Benutzung dieser Anleitungen entstehen! |
| Die folgenden Seiten stehen nicht unter der Kontrolle der untermStrich software gmbh |

 ** **

^ :righty: Die Freigabe eines Servers im Internet und das Einrichten eins HTTPS Zertifikates ist Aufgabe des Systemadministrators / der Systemadministratorin. :lefty: ^
| Hierbei muss natürlich auch die am Server eingesetzte Software aktuell gehalten werden. Weiteren Schutz bietet mod_auth_basic. \\ :!r: Alternativ empfehlen wir eine **VPN Verbindung** für den Zugriff |

<html> </html>

===== Vorgehen =====

==== HTTPS Reverse Proxy/Web Application Firewall  ====
Wenn Sie einen Reverse Proxy/eine Application Firewall einsetzen, die bereits HTTPS für HTTP Dienste anbietet, müssen Sie in untermStrich nur die folgenden 2 Einträge anpasssen: [[de:reverse_proxy:start|]]

<WRAP center round info 90%>
Eine [[wpde>Web Application Firewall]] (WAF) bietet einen zusätzlichen Schutz gegen Angriffe auf Webanwendungen. Diese kann alle Ihre Webanwendungen/Webseiten gleichzeitig schützen. 

Hier eine kurze Marktübersicht:

  * [[https://www.tecchannel.de/a/web-application-firewalls-grundlagen-und-marktuebersicht,2019855,7|tecchannel: WAF-Marktübersicht]]
  * [[https://www.fortinet.com/de/products/web-application-firewall/fortiweb|FortiWeb: Web Application Firewall]]
  * [[https://www.heise.de/select/ix/2022/4/2201713464818694504|Heise iX:  Drei freie Web-Application-Firewalls im Vergleich ]]
  * [[https://github.com/SpiderLabs/ModSecurity|ModSecurity]]
  * [[https://owasp.org/www-community/Web_Application_Firewall|OWASP: Web Application Firewall]]

Beachten Sie, dass vor allem freie Web Application Firewalls, eine Systembetreuer:in benötigen, die Profile anpassen kann und zu den Geschäftszeiten verfügbar sein muss.
</WRAP>


==== HTTPS Zertifikat für den Apache ====
  - Sie benötigen als erstes ein Zertifikat für eine Domain:
    * Eine Domain erhalten Sie bereits für unter 10EUR im Jahr bei diversen Anbietern.
    * Das Zertifikat erhalten Sie etwa
      * kostenlos, bei [[https://letsencrypt.org/]] (Anleitungen unter: [[https://certbot.eff.org/]])
      * ab (Stand 04.2017) 59$ bei [[http://www.rapidssl.com/]].
    * <wrap round important>Wir empfehlen die Nutzung eines gültigen (nicht Self-Signed) Zertifikates. ((Sicherer und weniger Problemanfällig))</wrap>
  - Dieses müssen Sie bei dem von Ihnen benutzten Webserver eintragen:
     * :righty: [[de:installation:ssl_hinweise_zu_apache_bundle|Hinweise zu HTTPS - HTTP Server, PHP, ionCube Bundle (Windows)]]
<WRAP center round info 90%>
Anleitung zur Installation eines SSL Zertifikates beim Apache Server, finden Sie in aller Regel direkt beim Aussteller Ihres SSL Zertifikates.
</WRAP>


=== Tipps ===
     * [[de:installation:ssl Probleme mit 64Bit Windows|Probleme mit 64Bit Windows]]
     * [[de:installation:sslkey remove passphrase|Fehler: SSLCertificateKeyFile mit Passphrase]]
  * Wenn Sie HTTPS nutzen, kann die folgende Browser Extension notwendig sein. Mit der Connector Adresse ''127.0.0.1'' funktioniert es aber in aller Regel ohne Browser Extension.:
      * [[de:installation:chrome_extension|Browser Extension für Google Chrome/Opera]]
      * [[de:installation:firefox_extension|Browser Extension für Mozilla Firefox]]

<WRAP center round important 90%>
**Halten Sie das System aktuell!**\\
Wenn Sie den Server im Internet freigeben, ist es unumgänglich das System ständig aktuell zu halten:\\
\\
//Windows:// Stellen Sie sicher, dass Sie immer auf das aktuellste [[http://open.untermstrich.com/httpserver:index|HTTP Server, PHP, ionCube Bundle]] aktualisieren.\\
//Ubuntu:// Aktivieren Sie die automatischen Sicherheitsupdates\\
</WRAP>


===== Weitere Absicherung =====
Per Apache kann man das System noch weiter absichern:
  * [[de:installation:ssl:basic_auth|Basic Auth]]
  * [[de:installation:hsts|Sicherheit durch HTTP Strict Transport Security]]
  * [[de:installation:https_only_cookie|Sicherheit durch HTTPS only cookie]]

===== Aktuelle Informationen =====

  - 12.12.2021 - Informationen zu Log4J – CVE-2021-44228 [[https://kunden.untermstrich.com/2021/12/13/zu2021-44228.html]]
    * [[de:butler:modify_office_files#Logging|Modify Office Files - Logging]]
  - 06.10.2021 - Neues HTTP Server, PHP, ionCube Bundle verfügbar: [[http://open.untermstrich.com/httpserver:index]]
  - 10.01.2019 - Offizielles [[http://php.net/supported-versions.php|Support-Ende für PHP 7.0.]] Wenn Sie PHP 7.0 nutzen und ihr Distributor dies nicht mehr aktualisiert, empfehlen wir ein Update auf 7.2. Updaten Sie dazu zuvor auf X3 oder gleich X4.
  - 31.12.2018 - Offizielles [[http://php.net/supported-versions.php|Support-Ende für PHP 5.6.]] Wenn Sie PHP 5.6 nutzen und ihr Distributor dies nicht mehr aktualisiert, empfehlen wir ein Update auf 7.2. Beachten Sie bitte die [[#update_des_servers|Information unten]]. Updaten Sie dazu zuvor auf X3 oder gleich X4.
  - 24.09.2014 - Informationen zu ShellShock: [[http://www.heise.de/security/meldung/ShellShock-Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html|Standard-Unix-Shell Bash erlaubt das Ausführen von Schadcode - Informationen zu Linux]]. [[http://www.heise.de/mac-and-i/meldung/Mac-OS-X-Bash-Update-gegen-ShellShock-2405325.html|Bash-Update für Mac OS X]].
  - 05.06.2014 - [[http://www.heise.de/newsticker/meldung/Sieben-auf-einen-Streich-OpenSSL-schliesst-Sicherheitsluecken-2216707.html|OpenSSL schließt 7 Sicherheitslücken - Wenn Sie SSL nutzen, sollten Sie ein Update des Apache durchführen.]]
  - 08.04.2014 - [[http://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html|Schwerer Bug in OpenSSL 1]]
    * OpenSSL 0.9.8 ist lt. aktueller Information **nicht** betroffen.
    * Der mit Mac OS X ausgelieferte Apache nutzt OpenSSL 0.9.8 ((Überprüfen Sie dies über die Anzeiger der Header in der Netzwerkanalyse Ihres Browsers: {{:de:installation:openssl_098_zend.png?nolink&350|}}))
  - 03.05.2012 - [[http://www.heise.de/security/meldung/Gefahr-durch-offene-PHP-Luecke-1567433.html|PHP-Lücke in Versionen vor 5.3.12 und 5.4.2]]

===== Update des Servers =====


==== Update unter Linux/macOS ====
:!: Beachten Sie unbedingt die Informationen zu den [[de:installation:requirements#server|Systemanforderungen von untermStrich]].

Aktualisieren Sie Ihr System.

:!: Die Version des ionCube Loader muss mit Ihrer installierten PHP Version übereinstimmen. **Ansonsten wird der Apache nicht mehr starten!**

Passen Sie die Einbindung des ionCube Loader an - [[de:installation:new_installation|Siehe Installation
]].\\
Unter macOS müssen Sie meist auch das AllowOverride aktivieren!