====== Optional: HTTPS Zertifikat & Freigabe im Internet ====== ^ **:!: ACHTUNG: INFORMATIONEN OHNE GEWÄHR. ** ^ | Die Firma untermStrich software gmbh übernimmt keine Haftung für etwaige Schäden oder Fehler die direkt oder indirekt durch die Benutzung oder nicht Benutzung dieser Anleitungen entstehen! | | Die folgenden Seiten stehen nicht unter der Kontrolle der untermStrich software gmbh | ** ** ^ :righty: Die Freigabe eines Servers im Internet und das Einrichten eins HTTPS Zertifikates ist Aufgabe des Systemadministrators / der Systemadministratorin. :lefty: ^ | Hierbei muss natürlich auch die am Server eingesetzte Software aktuell gehalten werden. Weiteren Schutz bietet mod_auth_basic. \\ :!r: Alternativ empfehlen wir eine **VPN Verbindung** für den Zugriff | ===== Vorgehen ===== ==== HTTPS Reverse Proxy/Web Application Firewall ==== Wenn Sie einen Reverse Proxy/eine Application Firewall einsetzen, die bereits HTTPS für HTTP Dienste anbietet, müssen Sie in untermStrich nur die folgenden 2 Einträge anpasssen: [[de:reverse_proxy:start|]] Eine [[wpde>Web Application Firewall]] (WAF) bietet einen zusätzlichen Schutz gegen Angriffe auf Webanwendungen. Diese kann alle Ihre Webanwendungen/Webseiten gleichzeitig schützen. Hier eine kurze Marktübersicht: * [[https://www.tecchannel.de/a/web-application-firewalls-grundlagen-und-marktuebersicht,2019855,7|tecchannel: WAF-Marktübersicht]] * [[https://www.fortinet.com/de/products/web-application-firewall/fortiweb|FortiWeb: Web Application Firewall]] * [[https://www.heise.de/select/ix/2022/4/2201713464818694504|Heise iX: Drei freie Web-Application-Firewalls im Vergleich ]] * [[https://github.com/SpiderLabs/ModSecurity|ModSecurity]] * [[https://owasp.org/www-community/Web_Application_Firewall|OWASP: Web Application Firewall]] Beachten Sie, dass vor allem freie Web Application Firewalls, eine Systembetreuer:in benötigen, die Profile anpassen kann und zu den Geschäftszeiten verfügbar sein muss. ==== HTTPS Zertifikat für den Apache ==== - Sie benötigen als erstes ein Zertifikat für eine Domain: * Eine Domain erhalten Sie bereits für unter 10EUR im Jahr bei diversen Anbietern. * Das Zertifikat erhalten Sie etwa * kostenlos, bei [[https://letsencrypt.org/]] (Anleitungen unter: [[https://certbot.eff.org/]]) * ab (Stand 04.2017) 59$ bei [[http://www.rapidssl.com/]]. * Wir empfehlen die Nutzung eines gültigen (nicht Self-Signed) Zertifikates. ((Sicherer und weniger Problemanfällig)) - Dieses müssen Sie bei dem von Ihnen benutzten Webserver eintragen: * Windows: [[de:installation:ssl_hinweise_zu_apache_bundle|Hinweise zu HTTPS - HTTP Server, PHP, ionCube Bundle (Windows)]] * Let’s Encrypt Linux: [[https://certbot.eff.org/instructions?ws=apache&os=snap]] * Let’s Encrypt macOS: [[https://certbot.eff.org/instructions?ws=apache&os=osx]] Anleitung zur Installation eines SSL Zertifikates beim Apache Server, finden Sie in aller Regel direkt beim Aussteller Ihres SSL Zertifikates. === Tipps === * [[de:installation:ssl Probleme mit 64Bit Windows|Probleme mit 64Bit Windows]] * [[de:installation:sslkey remove passphrase|Fehler: SSLCertificateKeyFile mit Passphrase]] * Wenn Sie HTTPS nutzen, kann die folgende Browser Extension notwendig sein. Mit der Connector Adresse ''127.0.0.1'' funktioniert es aber in aller Regel ohne Browser Extension.: * [[de:installation:firefox_extension|Browser Extension für Mozilla Firefox]] **Halten Sie das System aktuell!**\\ Wenn Sie den Server im Internet freigeben, ist es unumgänglich das System ständig aktuell zu halten:\\ \\ //Windows:// Stellen Sie sicher, dass Sie immer auf das aktuellste [[http://open.untermstrich.com/httpserver:index|HTTP Server, PHP, ionCube Bundle]] aktualisieren.\\ //Ubuntu:// Aktivieren Sie die automatischen Sicherheitsupdates\\ ===== Weitere Absicherung ===== Per Apache kann man das System noch weiter absichern: * [[de:installation:ssl:basic_auth|Basic Auth]] * [[de:installation:hsts|Sicherheit durch HTTP Strict Transport Security]] * [[de:installation:https_only_cookie|Sicherheit durch HTTPS only cookie]] ===== Aktuelle Informationen ===== - 12.12.2021 - Informationen zu Log4J – CVE-2021-44228 [[https://kunden.untermstrich.com/2021/12/13/zu2021-44228.html]] * [[de:butler:modify_office_files#Logging|Modify Office Files - Logging]] - 06.10.2021 - Neues HTTP Server, PHP, ionCube Bundle verfügbar: [[http://open.untermstrich.com/httpserver:index]] - 10.01.2019 - Offizielles [[http://php.net/supported-versions.php|Support-Ende für PHP 7.0.]] Wenn Sie PHP 7.0 nutzen und ihr Distributor dies nicht mehr aktualisiert, empfehlen wir ein Update auf 7.2. Updaten Sie dazu zuvor auf X3 oder gleich X4. - 31.12.2018 - Offizielles [[http://php.net/supported-versions.php|Support-Ende für PHP 5.6.]] Wenn Sie PHP 5.6 nutzen und ihr Distributor dies nicht mehr aktualisiert, empfehlen wir ein Update auf 7.2. Beachten Sie bitte die [[#update_des_servers|Information unten]]. Updaten Sie dazu zuvor auf X3 oder gleich X4. - 24.09.2014 - Informationen zu ShellShock: [[http://www.heise.de/security/meldung/ShellShock-Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html|Standard-Unix-Shell Bash erlaubt das Ausführen von Schadcode - Informationen zu Linux]]. [[http://www.heise.de/mac-and-i/meldung/Mac-OS-X-Bash-Update-gegen-ShellShock-2405325.html|Bash-Update für Mac OS X]]. - 05.06.2014 - [[http://www.heise.de/newsticker/meldung/Sieben-auf-einen-Streich-OpenSSL-schliesst-Sicherheitsluecken-2216707.html|OpenSSL schließt 7 Sicherheitslücken - Wenn Sie SSL nutzen, sollten Sie ein Update des Apache durchführen.]] - 08.04.2014 - [[http://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html|Schwerer Bug in OpenSSL 1]] * OpenSSL 0.9.8 ist lt. aktueller Information **nicht** betroffen. * Der mit Mac OS X ausgelieferte Apache nutzt OpenSSL 0.9.8 ((Überprüfen Sie dies über die Anzeiger der Header in der Netzwerkanalyse Ihres Browsers: {{:de:installation:openssl_098_zend.png?nolink&350|}})) - 03.05.2012 - [[http://www.heise.de/security/meldung/Gefahr-durch-offene-PHP-Luecke-1567433.html|PHP-Lücke in Versionen vor 5.3.12 und 5.4.2]] ===== Update des Servers ===== ==== Update unter Linux/macOS ==== :!: Beachten Sie unbedingt die Informationen zu den [[de:installation:requirements#server|Systemanforderungen von untermStrich]]. Aktualisieren Sie Ihr System. :!: Die Version des ionCube Loader muss mit Ihrer installierten PHP Version übereinstimmen. **Ansonsten wird der Apache nicht mehr starten!** Passen Sie die Einbindung des ionCube Loader an - [[de:installation:new_installation|Siehe Installation ]].\\ Unter macOS müssen Sie meist auch das AllowOverride aktivieren!